Ang grupong hacking ng Tsino ay muling Nire-ranggo ng Mga Global Attacks | VPNoverview.com

Ang isang Dutch security company, na tinatawag na Fox-IT, ay naglabas ngayon ng isang ulat kasunod ng kanilang pagsisiyasat sa Chinese cyber espionage. Sa huling dalawang taon, ang mga sistema ng computer ng dose-dosenang mga kumpanya at mga institusyon ng gobyerno sa buong mundo ay naatake. Ang Dutch ay nagtapos sa isang mataas na antas ng katiyakan na ang isang Intsik na hacking group ay nasa likod ng mga pag-atake.


Natuklasan ang Pandaigdigang Kampanya sa Cyber ​​Espionage

Ang pagsisiyasat na pinangalanang “Operation Wocao” (我 操, “Wǒ cāo” sa Intsik, slang para sa “tae” o “sumpain”) ay naganap sa loob ng halos dalawang taon. Sinasabi ng mga mananaliksik sa seguridad ng Dutch na ang lahat ng mga puntos na katibayan sa isang malilimot na grupo ng pag-hack ng Tsino na tinatawag na APT20, na malamang na nagtatrabaho sa interes ng gobyerno ng China..

Natuklasan ng Fox-IT ang kampanya sa pag-hack ng grupo sa tag-araw ng 2018, habang nagsasagawa ng isang pagsusuri ng mga nakompromiso na mga sistema ng computer para sa isa sa mga kliyente nito. Nagawa nilang sundin ang landas at hindi natuklasan ang dose-dosenang mga katulad na pag-atake na isinagawa ng parehong pangkat.

Sa isang napakapangit na ulat, ipinaliwanag ng Dutch na ang “Napakaliit ay kilala sa publiko o nai-publish tungkol sa aktor na inilarawan namin, ngunit sa halip na bigyan ang aming aktor na isang alyas ng aming sarili, pinili namin na maabot ang mga kasosyo sa industriya. Nakatulong ito sa amin na maiugnay ang ilan sa mga dati nang hindi nai-publish na mga diskarte at mga tool sa ulat na ito, na may medium confidence, sa isang aktor na banta sa China na kilala bilang APT20. Batay sa napansin na mga biktima ng aktor na ito din namin masuri na ang banta na artista na ito ay malamang na gumagana sa interes ng gobyerno ng China. “

Ang Layunin ay Hindi Pera, ngunit Kaalaman

Ang mga hacker ay hindi nakawin ang pera o nag-install ng ransomware. Panay silang naghahanap para sa impormasyon at kaalaman na sensitibo sa negosyo, isang bagay na partikular sa interes ng gobyerno ng China.

Eksakto kung magkano ang data na pinamamahalaan ng mga umaatake sa mga nagdaang ilang taon. Ang nalalaman, ay sa pagitan ng 2009 at 2014, ang APT20 (kilala rin bilang Violin Panda at th3bug) ay nauugnay sa mga kampanya sa pag-target sa mga unibersidad, militar, mga organisasyon ng pangangalaga sa kalusugan at mga kumpanya ng telecommunication.

Ayon sa Fox-IT, ang grupo ng pag-hack ng Intsik ay napakatindi ng maraming taon. Gayunpaman, kamakailan lamang ito nabuhay at tahimik na target ang mga kumpanya at ahensya ng gobyerno.

Ilang Mga Teknolohiya ng Novel na Ginamit

Ang ulat ay nagbibigay ng isang pangkalahatang-ideya ng mga pamamaraan na alam ng mga mananaliksik ng seguridad ng Dutch na ginagamit ng APT20. Ang paunang punto ng pag-access ay karaniwang isang mahina laban o naka-kompromiso na webserver. Kapag sa loob, ang mga hacker ay gumagalaw sa network gamit ang mga kilalang pamamaraan. Kalaunan, maaari silang gumamit ng mga ninakaw na kredensyal upang ma-access ang network ng biktima sa pamamagitan ng corporate VPN.

Sa isang kaso, ang pangkat ng hacker ay nagawa pa ring maiiwasan ang isang form ng dalawang-factor na pagpapatunay na inilaan upang maiwasan ang naturang pag-atake. Upang gawin ito, ang mga hacker ay gumawa ng isang pamamaraan upang makuha ang 2 factor code upang kumonekta sa server ng VPN ng kumpanya at bigyan ng pahintulot ang kanilang sarili na mag-log in. Ang iba pang mga pasadyang tool na ginawa ay natuklasan din.

Susunod, ang mga hacker ay gumagamit ng maraming mga tool sa backdoor at bukas na mapagkukunan upang lumusot pa sa network upang manu-mano na makilala at mangolekta ng impormasyon. Matapos i-download ang data, ang lahat ng mga bakas ay pinahid upang hadlangan ang isang malalim na forensic investigation, at ang backdoor ay sarado.

Maraming mga Biktima sa Paa ng Globe

Ayaw ng Fox-IT na banggitin ang mga pangalan ng mga biktima. Ngunit ang Dutch ay nagbigay ng isang listahan ng mga sektor kung saan aktibo ang APT20.

Kabilang sa mga biktima ay ang mga kumpanya ng aviation, mga kumpanya ng konstruksyon, sektor ng enerhiya, mga institusyong pinansyal, mga organisasyon ng pangangalaga sa kalusugan, mga kumpanya sa malayo sa pampang na engineering, mga developer ng software at mga kumpanya ng transportasyon.

Ang mga bansang naapektuhan ay kinabibilangan ng Brazil, China, France, Germany, Italy, Mexico, Portugal, Spain, US at UK.

Maraming Mga Pagkakamali ang Ginagawa ng Hacking Group

Sa kanilang trabaho ng espiya, ang mga hacker ay nagkamali ng maraming pagkakamali, na iniwan ang “mga fingerprint”.

Halimbawa,

  • Mayroong ilang mga setting ng wika na tumutulo, na nagpapahiwatig na ang mga hacker ay nagpapatakbo ng isang browser na may setting ng wikang Tsino.
  • Kapag nagrehistro ng isang rented server, ang mga hacker ay nagbigay ng isang hindi umiiral na US address, ngunit hindi sinasadyang isinulat ang pangalan ng estado ng Louisiana sa mga character na Tsino.
  • Sa isang punto, ang mga hacker ay gumagamit ng isang code na maaari lamang matagpuan sa isang forum ng Tsino.

Pagkaraan ng ilang sandali, sinimulan din ng mga mananaliksik ng seguridad ng Dutch na mapansin na ang mga hacker ay mahigpit na sumunod sa mga oras ng opisina ng Intsik.

Ang pangalan ng pagsisiyasat ng Fox-IT na “Operation Wocao”, ay isa sa mga utos na isinagawa ng mga hacker sa isang pagkabigo na pagtatangka upang ma-access ang mga tinanggal na mga webshell, matapos mabalik ng Fox-IT ang digital break-in.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map