Kumpulan Peretasan China Melancarkan Serangan Global | VPNoverview.com

Sebuah syarikat keselamatan Belanda, yang disebut Fox-IT, hari ini mengeluarkan laporan setelah penyelidikan mereka terhadap pengintipan siber China. Dalam dua tahun terakhir, sistem komputer puluhan syarikat dan institusi kerajaan di seluruh dunia telah diserang. Belanda menyimpulkan dengan kepastian yang tinggi bahawa kumpulan penggodam Cina berada di belakang serangan itu.


Kempen Pengintipan Siber Global Ditemui

Siasatan bernama “Operasi Wocao” (我 操, “Wǒ cāo” dalam bahasa Cina, slang untuk “kotoran” atau “sial”) berlangsung dalam jangka masa hampir dua tahun. Penyelidik keselamatan Belanda mengatakan semua bukti menunjukkan kumpulan penggodam Cina yang gelap bernama APT20, yang kemungkinan berfungsi untuk kepentingan pemerintah China.

Fox-IT menemui kempen penggodaman kumpulan itu pada musim panas 2018, sambil menjalankan analisis sistem komputer yang dikompromikan untuk salah satu pelanggannya. Mereka dapat mengikuti jejak tersebut dan menemui puluhan serangan serupa yang telah dilakukan oleh kumpulan yang sama.

Dalam laporan panjang lebar, Belanda menjelaskan bahawa “Sangat sedikit yang diketahui atau diterbitkan secara terbuka mengenai pelakon yang kami gambarkan, tetapi daripada memberikan pelakon ini sebagai alias kami sendiri, kami memilih untuk menghubungi rakan industri. Ini membantu kami mengaitkan beberapa teknik dan alat yang sebelumnya tidak diterbitkan dalam laporan ini, dengan keyakinan sederhana, kepada pelaku ancaman China yang dikenali sebagai APT20. Berdasarkan mangsa pelakon ini, kami juga menilai bahawa pelaku ancaman ini berkemungkinan bekerja untuk kepentingan pemerintah China. “

Tujuannya Bukan Wang, tetapi Pengetahuan

Penggodam tidak mencuri wang atau memasang ransomware. Mereka semata-mata mencari maklumat dan pengetahuan yang peka perniagaan, sesuatu yang sangat diminati oleh kerajaan China.

Berapa banyak data yang berjaya dikumpulkan oleh penyerang dalam beberapa tahun terakhir tidak dapat dipastikan. Apa yang diketahui, adalah antara tahun 2009 dan 2014, APT20 (juga dikenal sebagai Violin Panda dan th3bug) telah dikaitkan dengan kempen penggodaman yang menyasarkan universiti, tentera, organisasi penjagaan kesihatan dan syarikat telekomunikasi.

Menurut Fox-IT, kumpulan penggodam China tidak aktif selama beberapa tahun. Namun, baru-baru ini muncul kembali dan secara senyap-senyap menjadi sasaran syarikat dan agensi kerajaan.

Beberapa Teknik Novel Yang Digunakan

Laporan ini memberikan gambaran umum mengenai teknik yang diketahui oleh penyelidik keselamatan Belanda terhadap penggunaan APT20. Titik awal akses biasanya merupakan pelayan web yang rentan atau sudah dikompromikan. Setelah masuk, penggodam bergerak melalui rangkaian menggunakan kaedah yang terkenal. Akhirnya, mereka dapat menggunakan bukti kelayakan yang dicuri untuk mengakses rangkaian mangsa melalui VPN korporat.

Dalam satu kes, kumpulan penggodam bahkan dapat menghindari bentuk pengesahan dua faktor yang bertujuan untuk mencegah serangan tersebut. Untuk melakukannya, penggodam mengembangkan teknik untuk mengambil kod 2 faktor untuk menyambung ke pelayan VPN syarikat dan memberi kebenaran kepada mereka untuk log masuk. Alat lain yang dibuat khas juga ditemui.

Seterusnya, penggodam menggunakan beberapa alat pintu belakang dan sumber terbuka untuk menyusup lebih jauh ke dalam rangkaian untuk mengenal pasti dan mengumpulkan maklumat secara manual. Setelah memuat turun data, semua jejak dihapus untuk menghalang penyelidikan forensik mendalam, dan pintu belakang ditutup.

Banyak Korban Di Seluruh Dunia

Fox-IT tidak mahu menyebut nama mangsa. Tetapi Belanda memberikan senarai sektor di mana APT20 aktif.

Antara yang menjadi mangsa ialah syarikat penerbangan, syarikat pembinaan, sektor tenaga, institusi kewangan, organisasi penjagaan kesihatan, syarikat kejuruteraan luar pesisir, pembangun perisian dan syarikat pengangkutan.

Negara-negara yang terjejas termasuk Brazil, China, Perancis, Jerman, Itali, Mexico, Portugal, Sepanyol, AS dan UK.

Beberapa Kesalahan yang dibuat oleh Kumpulan Peretasan Cina

Semasa kerja pengintipan mereka, penggodam melakukan beberapa kesalahan, meninggalkan “cap jari”.

Sebagai contoh,

  • Terdapat beberapa tetapan bahasa yang bocor, yang menunjukkan bahawa penggodam menjalankan penyemak imbas dengan tetapan bahasa Cina.
  • Semasa mendaftar pelayan yang disewa, penggodam memberikan alamat AS yang tidak ada, tetapi secara tidak sengaja menuliskan nama negara Louisiana dalam huruf Cina.
  • Pada satu ketika, penggodam menggunakan kod yang hanya boleh didapati di forum China.

Selepas beberapa ketika, para penyelidik keselamatan Belanda juga mula menyedari bahawa penggodam mematuhi peraturan pejabat China.

Nama penyiasatan Fox-IT “Operation Wocao”, adalah salah satu perintah yang dilaksanakan oleh penggodam dalam usaha yang kecewa untuk mengakses webshell yang dihapus, setelah Fox-IT membalikkan pemecahan digital.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map