A kínai hackeléscsoport globális támadásokat indít VPNoverview.com

A Fox-IT elnevezésű holland biztonsági társaság ma jelentést tett közzé a kínai kémkedés-kémkedés nyomozása után. Az elmúlt két évben több tucat vállalat és kormányzati intézmény számítógépes rendszereit támadták meg világszerte. A hollandok nagy bizonyossággal arra a következtetésre jutottak, hogy a támadások mögött egy kínai csapkodó csoport áll.


Felfedezték a globális számítógépes kémkedés kampányt

A „Wocao művelet” elnevezésű nyomozásra ((操, „Wǒ cao” kínai nyelven, „szar” vagy „átkozott” szleng) csaknem két évig tartott. A holland biztonsági kutatók szerint az összes bizonyíték egy APT20 nevű árnyékos kínai csapkodócsoportra mutat, amely valószínűleg a kínai kormány érdekében működik..

A Fox-IT 2018 nyarán fedezte fel a csoport hackelési kampányát, miközben elemzése során az egyik ügyfelének veszélyeztetett számítógépes rendszereket tartalmazott. Képesek voltak követni az utat, és tucatnyi hasonló támadást fedeztek fel, amelyeket ugyanaz a csoport követett el.

Egy hosszú jelentésben a holland magyarázza, hogy „Nagyon keveset tudunk közzé vagy teszünk közzé az általunk leírt színészről, de ahelyett, hogy ennek a színésznek saját álnevet adnánk, úgy döntöttünk, hogy kapcsolatba lépünk az ipari partnerekkel. Ez hozzájárult ahhoz, hogy a jelentésben korábban még nem publikált technikákat és eszközöket közepes magabiztossággal tulajdonítsuk az APT20 néven ismert kínai fenyegető szereplőnek. A színész megfigyelt áldozatainak alapján azt is megítéljük, hogy ez a fenyegető szereplő valószínűleg a kínai kormány érdekeit szolgálja. ”

A cél nem pénz, hanem tudás

A hackerek nem lopnak pénzt, és nem telepítenek ransomware-t. Tisztán üzleti szempontból érzékeny információkat és ismereteket keresnek, és mindezt különösen a kínai kormány érdekelné.

Nem lehet pontosan meghatározni, hogy mennyi adatot sikerült a támadóknak begyűjteni az elmúlt években. Ismert tény, hogy 2009 és 2014 között az APT20-at (más néven Violin Panda és th3bug néven) hakkoló kampányokkal társították az egyetemeket, a katonaságot, az egészségügyi szervezeteket és a telekommunikációs társaságokat célzó kampányokhoz..

A Fox-IT szerint a kínai hackelési csoport évek óta nem működik. Nemrégiben újjáéledt, és csendesen célozza meg a vállalatokat és a kormányzati ügynökségeket.

Néhány használt új technika

A jelentés áttekintést nyújt azokról a technikákról, amelyeket a holland biztonsági kutatók ismernek az APT20-ban. A kezdeti hozzáférési pont általában egy sebezhető vagy már veszélyeztetett webszerver. Belépve a hackerek jól ismert módszerekkel mozognak a hálózaton. Végül lopott hitelesítő adatokat használhatnak az áldozatok hálózatához a vállalati VPN-en keresztül.

Az egyik esetben a hackerek csoportja meg is tudta kijátszani a kétfaktoros hitelesítés egy formáját, amelynek célja az ilyen támadások megakadályozása. Ennek érdekében a hackerek kifejlesztettek egy technikát a 2 tényező kódjának beolvasására, hogy csatlakozzanak a cég VPN szerveréhez, és engedélyt adnak maguknak a bejelentkezéshez. Más egyedi eszközöket is fedeztek fel.

Ezután a hackerek több hátsó ajtót és nyílt forráskódú eszközt használtak, hogy tovább beszivárogjanak a hálózatba, hogy manuálisan azonosítsák és gyűjtsék az információkat. Az adatok letöltése után az összes nyomot megtisztították a mélyreható kriminalisztikai vizsgálat megakadályozása érdekében, és a hátsó ajtót bezárták.

Számos áldozat az egész világon

A Fox-IT nem akarja megemlíteni az áldozatok nevét. De a hollandok felsorolták azokat az ágazatokat, amelyekben az APT20 aktív.

Az áldozatok között szerepelnek a légiközlekedési társaságok, az építőipar, az energiaágazat, a pénzügyi intézmények, az egészségügyi szervezetek, az offshore mérnöki társaságok, a szoftverfejlesztők és a szállító cégek..

Az érintett országok között szerepel Brazília, Kína, Franciaország, Németország, Olaszország, Mexikó, Portugália, Spanyolország, az Egyesült Államok és az Egyesült Királyság.

Több hibát követett el a kínai hackeléscsoport

A kémkedés során a hackerek több hibát követtek el, ujjlenyomatokat hagyva hátra..

Például,

  • Volt néhány kiszivárgott nyelvi beállítás, ami azt jelzi, hogy a hackerek böngészőt futtattak egy kínai nyelv beállításával.
  • A bérelt szerver regisztrálásakor a hackerek nem létező amerikai címet adtak meg, de véletlenül kínai betűkkel írták a Louisiana állam nevét..
  • Egyszer a hackerek olyan kódot használtak, amelyet csak egy kínai fórumon találtak meg.

Egy idő után a holland biztonsági kutatók szintén észrevették, hogy a hackerek szigorúan betartják a kínai irodai órákat.

A Fox-IT nyomozásának neve „Wocao művelet” volt a hackerek egyik parancsának, amelyet csalódott kísérlettel hajtottak végre törölt webhéjak elérésére, miután a Fox-IT megfordította a digitális behatolást..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me