Chińska grupa hakerska ponownie uruchamia globalne ataki VPNoverview.com

Holenderska firma ochroniarska o nazwie Fox-IT opublikowała dziś raport po dochodzeniu w sprawie chińskiego szpiegostwa cybernetycznego. W ciągu ostatnich dwóch lat zaatakowano systemy komputerowe dziesiątek firm i instytucji rządowych na całym świecie. Holendrzy doszli do wniosku z dużą pewnością, że za atakami stoi chińska grupa hakerska.


Odkryto globalną kampanię szpiegostwa cybernetycznego

Dochodzenie o nazwie „Operacja Wocao” (我 操, po chińsku „Wǒ cāo”, slang „gówno” lub „cholera”) trwało prawie dwa lata. Holenderscy badacze bezpieczeństwa twierdzą, że wszystkie dowody wskazują na mroczną chińską grupę hakerską APT20, która prawdopodobnie działa w interesie chińskiego rządu.

Fox-IT odkrył kampanię hakerską grupy latem 2018 r., Przeprowadzając analizę zainfekowanych systemów komputerowych dla jednego z jej klientów. Byli w stanie podążać szlakiem i odkryli dziesiątki podobnych ataków przeprowadzonych przez tę samą grupę.

W obszernym raporcie Holendrzy wyjaśniają, że „Bardzo niewiele wiadomo lub opublikowano publicznie na temat aktora, którego opisujemy, ale zamiast nadać temu aktorowi własny pseudonim, postanowiliśmy skontaktować się z partnerami branżowymi. To pomogło nam przypisać niektóre niepublikowane wcześniej techniki i narzędzia w tym raporcie, ze średnim zaufaniem, chińskiemu podmiotowi grożącemu, znanemu jako APT20. Na podstawie zaobserwowanych ofiar tego aktora oceniamy również, że ten aktor grożący prawdopodobnie działa w interesie chińskiego rządu. ”

Celem nie są pieniądze, ale wiedza

Hakerzy nie kradną pieniędzy ani nie instalują oprogramowania ransomware. Szukają wyłącznie poufnych informacji i wiedzy biznesowej, czym zainteresowałby się w szczególności chiński rząd.

Dokładnie ile danych udało się zebrać atakującym w ciągu ostatnich kilku lat, nie można ustalić. Wiadomo, że w latach 2009–2014 APT20 (znany również jako Skrzypce Panda i th3bug) był powiązany z kampaniami hakerskimi skierowanymi do uniwersytetów, wojska, organizacji opieki zdrowotnej i firm telekomunikacyjnych.

Według Fox-IT, chińska grupa hakerska zapadła w sen przez kilka lat. Jednak ostatnio powrócił na powierzchnię i po cichu atakuje firmy i agencje rządowe.

Niektóre zastosowane nowe techniki

Raport zawiera przegląd technik, które holenderscy badacze bezpieczeństwa znają z APT20. Początkowy punkt dostępu to zazwyczaj wrażliwy lub już zagrożony serwer WWW. Wewnątrz hakerzy przechodzą przez sieć przy użyciu dobrze znanych metod. W końcu mogą użyć skradzionych poświadczeń, aby uzyskać dostęp do sieci ofiary za pośrednictwem korporacyjnej sieci VPN.

W jednym przypadku grupa hakerów była nawet w stanie obejść formę uwierzytelniania dwuskładnikowego, mającą na celu zapobieganie takim atakom. Aby to zrobić, hakerzy opracowali technikę pobierania kodów 2-czynnikowych w celu połączenia z serwerem VPN firmy i umożliwienia sobie zalogowania. Odkryto również inne niestandardowe narzędzia.

Następnie hakerzy wykorzystali kilka narzędzi typu backdoor i open source, aby przeniknąć dalej do sieci, aby ręcznie zidentyfikować i zebrać informacje. Po pobraniu danych wszystkie ślady zostały usunięte, aby utrudnić dogłębne dochodzenie kryminalistyczne, a backdoor został zamknięty.

Liczne ofiary na całym świecie

Fox-IT nie chce wymieniać nazwisk ofiar. Ale Holendrzy podali listę sektorów, w których działa APT20.

Wśród ofiar znajdują się firmy lotnicze, budowlane, sektor energetyczny, instytucje finansowe, organizacje opieki zdrowotnej, firmy inżynieryjne offshore, twórcy oprogramowania i firmy transportowe.

Dotyczy to Brazylii, Chin, Francji, Niemiec, Włoch, Meksyku, Portugalii, Hiszpanii, Stanów Zjednoczonych i Wielkiej Brytanii.

Kilka błędów popełnionych przez chińską grupę hakerską

Podczas szpiegostwa hakerzy popełnili kilka błędów, pozostawiając po sobie „odciski palców”.

Na przykład,

  • Niektóre ustawienia języka wyciekły, co wskazuje, że hakerzy używali przeglądarki z ustawieniem języka chińskiego.
  • Podczas rejestrowania wynajętego serwera hakerzy podali nieistniejący adres w USA, ale przypadkowo napisali chińską czcionką nazwę stanu Luizjana.
  • W pewnym momencie hakerzy wykorzystali kod, który można było znaleźć tylko na chińskim forum.

Po pewnym czasie holenderscy badacze bezpieczeństwa zaczęli zauważać, że hakerzy ściśle przestrzegali chińskich godzin urzędowania.

Nazwa dochodzenia Fox-IT „Operacja Wocao” była jednym z poleceń wykonywanych przez hakerów w sfrustrowanej próbie dostępu do usuniętych skorup internetowych, po tym, jak Fox-IT odwrócił cyfrowe włamanie.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me