Kínverski hakkahópur endurræsir alþjóðlegar árásir VPNoverview.com

Hollenskt öryggisfyrirtæki, kallað Fox-IT, sendi í dag frá sér skýrslu í kjölfar rannsóknar þeirra á kínversku netnjósnara. Á síðustu tveimur árum hefur verið ráðist á tölvukerfi tugum fyrirtækja og ríkisstofnana um allan heim. Hollendingar komust að þeirri niðurstöðu með mikilli vissu að kínverskur reiðhestahópur stæði að baki árásunum.


Alheims Cyber ​​njósnaherferð uppgötvuð

Rannsóknin sem nefnd var „Operation Wocao“ (我 操, „Wǒ cāo“ á kínversku, slangur fyrir „drasl“ eða „fjandinn“) átti sér stað á næstum tvö ár. Hollenskir ​​öryggisvísindamenn segja öll sönnunargögn benda til skuggalegs kínversks hakkhóps sem kallast APT20, sem líklega starfi í þágu kínverskra stjórnvalda.

Fox-IT uppgötvaði reiðhestur herferðar hópsins sumarið 2018 en framkvæmdi greiningu á tölvukerfi í hættu fyrir einn af viðskiptavinum sínum. Þeir gátu fylgst með slóðinni og afhjúpuðu tugi svipaðra árása og höfðu verið gerðir af sama hópi.

Í langri skýrslu útskýrðu Hollendingar að „Mjög lítið er vitað eða birt opinberlega um leikarann ​​sem við lýsum, en frekar en að gefa þessum leikara okkar alias eigin, völdum við að ná til samstarfsaðila iðnaðarins. Þetta hjálpaði okkur að eigna kínverska ógnunarleikara, þekktur sem APT20, nokkrar af áður óbirtum tækni og tækjum í þessari skýrslu, með miðlungs sjálfstrausti. Miðað við fórnarlömb þessa leikara, sem við sjáum, metum við einnig að þessi ógnarleikari starfi líklega í þágu kínverskra stjórnvalda. “

Markmiðið er ekki peningar, heldur þekking

Tölvusnápurnar stela hvorki peningum né setja upp ransomware. Þeir eru eingöngu að leita að viðskiptanæmum upplýsingum og þekkingu, nokkuð sem kínversk stjórnvöld einkum hefðu áhuga á.

Ekki er hægt að ganga úr skugga um hversu mikið af gögnum sem árásarmennirnir hafa náð að safna undanfarin ár. Það sem er vitað er að á milli áranna 2009 og 2014 hefur APT20 (einnig þekkt sem Fiðlapanda og th3bug) verið tengd reiðhestur herferða sem beinast að háskólum, hernum, samtökum heilbrigðismála og fjarskiptafyrirtækjum.

Samkvæmt Fox-IT fór kínverska hakkahópurinn í sofandi í nokkur ár. Hins vegar hefur nýlega komið upp á yfirborðið og hefur hljóðlega verið að miða við fyrirtæki og ríkisstofnanir.

Nokkrar nýjar tækni notaðar

Skýrslan veitir yfirlit yfir þá tækni sem hollenskir ​​öryggisvísindamenn vita að APT20 notar. Upphafsaðgangsstaðurinn er venjulega viðkvæmur eða þegar kominn málamiðlun. Þegar þeir eru komnir inn fara tölvusnápur um netið með þekktum aðferðum. Að lokum geta þeir notað stolið skilríki til að fá aðgang að neti fórnarlambsins í gegnum VPN fyrirtækis.

Í einu tilviki gat tölvuþrjótarhópurinn jafnvel sniðgengið mynd af tveggja þátta staðfestingu sem ætlað er að koma í veg fyrir slíkar árásir. Til að gera það þróuðu tölvuþrjótar tækni til að sækja 2 þáttakóða til að tengjast VPN netþjóni fyrirtækisins og gefa sér leyfi til að skrá sig inn. Önnur sérsmíðuð verkfæri fundust einnig.

Næst notuðu tölvuþrjótarnir nokkur bakdyr og opinn hugbúnaður til að síast lengra inn á netið til að bera kennsl á og safna upplýsingum handvirkt. Eftir að hafa halað niður gögnunum var öllum ummerki þurrkað til að hindra ítarlega réttarrannsókn og var afturhurðinni lokað.

Fjölmörg fórnarlömb um allan heim

Fox-IT vill ekki nefna nöfn fórnarlambanna. En Hollendingar gáfu lista yfir atvinnugreinar þar sem APT20 er virkt.

Meðal fórnarlambanna eru flugfyrirtæki, byggingarfyrirtæki, orkugeirinn, fjármálastofnanir, heilbrigðisstofnanir, verkfræðifyrirtæki á hafi úti, hugbúnaðarframleiðendur og flutningafyrirtæki.

Lönd sem höfðu áhrif þar á meðal voru Brasilía, Kína, Frakkland, Þýskaland, Ítalía, Mexíkó, Portúgal, Spánn, Bandaríkin og Bretland.

Nokkrir mistök kínverska hakkhópurinn gerður

Meðan á njósnastarfi stóð gerðu tölvuþrjótarnir nokkur mistök og skildu eftir „fingraför“.

Til dæmis,

  • Það voru nokkrar lekaðar tungumálastillingar, sem bentu til þess að tölvuþrjótarnir væru að keyra vafra með kínversku stillingunni.
  • Við skráningu á leigu á netþjóni gáfu tölvuþrjótarnir upp heimilisfang sem ekki var til í Bandaríkjunum, en skrifuðu óvart nafn Louisiana-ríkis með kínverskum stöfum.
  • Á einum tímapunkti notuðu tölvuþrjótarnir kóða sem aðeins var að finna á kínverskum vettvangi.

Eftir nokkra stund fóru hollensku öryggisrannsakendurnir einnig að taka eftir því að tölvuþrjótarnir héldu sig strangt til kínverskra skrifstofutíma.

Nafn rannsóknar Fox-IT, „Operation Wocao“, var ein af skipunum sem tölvuþrjótarnir höfðu framkvæmt í gremjulegri tilraun til að fá aðgang að eytt skeljum, eftir að Fox-IT snéri við stafrænu innbrotinu.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me