Ķīniešu hakeru grupa atklāj globālus uzbrukumus Vietne VPNoverview.com

Nīderlandes drošības uzņēmums, saukts par Fox-IT, šodien publiskoja ziņojumu pēc izmeklēšanas par Ķīnas kibernoziegumu. Pēdējos divos gados ir uzbrukuši desmitiem uzņēmumu un valdības iestāžu datorsistēmas visā pasaulē. Holandieši ar lielu pārliecību secināja, ka uzbrukumiem aiz muguras ir ķīniešu hakeru grupa.


Atklāta globālā kibernoziegumu kampaņa

Izmeklēšana ar nosaukumu “Operācija Wocao” (我 操, “Wǒ cāo” ķīniešu valodā, slengs par “sūdiem” vai “sasodīti”) notika gandrīz divus gadus. Nīderlandes drošības pētnieki apgalvo, ka visi pierādījumi norāda uz ēnu ķīniešu hakeru grupu APT20, kas, iespējams, darbojas Ķīnas valdības interesēs..

Fox-IT atklāja grupas uzlaušanas kampaņu 2018. gada vasarā, vienlaikus veicot sava klienta kompromitēto datorsistēmu analīzi. Viņi varēja sekot takai un atklāja desmitiem līdzīgu uzbrukumu, ko bija veikusi viena un tā pati grupa.

Garā ziņojumā holandieši skaidro, ka “Ļoti maz ir publiski zināms vai publicēts par mūsu aprakstīto aktieri, bet tā vietā, lai sniegtu šim aktierim savu aizstājvārdu, mēs izvēlējāmies vērsties pie nozares partneriem. Tas mums ar vidēju pārliecību palīdzēja attiecināt dažus no iepriekš šajā ziņojumā iepriekš nepublicētajiem paņēmieniem un rīkiem ķīniešu draudu dalībniekam, kas pazīstams kā APT20. Balstoties uz novērotajiem šī aktiera upuriem, mēs arī novērtējam, ka šis draudu aktieris, iespējams, darbojas Ķīnas valdības interesēs. ”

Mērķis nav nauda, ​​bet zināšanas

Hakeri nezog naudu un neinstalē ransomware. Viņi tikai meklē uzņēmējdarbībai svarīgu informāciju un zināšanas, kaut ko īpaši ieinteresētu Ķīnas valdība.

Nevar precīzi noteikt, cik daudz datu uzbrucējiem ir izdevies iegūt pēdējos gados. Ir zināms, ka laikposmā no 2009. līdz 2014. gadam APT20 (pazīstams arī kā Violin Panda un th3bug) ir bijis saistīts ar uzlaušanas kampaņām, kas paredzētas universitātēm, militārajām, veselības aprūpes organizācijām un telekomunikāciju uzņēmumiem..

Pēc Fox-IT ziņām, ķīniešu hakeru grupa vairākus gadus nedarbojās. Tomēr tas nesen ir parādījies un klusībā ir vērsts uz uzņēmumiem un valdības aģentūrām.

Daži lietoti jaunie paņēmieni

Ziņojumā sniegts pārskats par metodēm, kuras Nīderlandes drošības pētnieki zina, lietojot APT20. Sākotnējais piekļuves punkts parasti ir neaizsargāts vai jau apdraudēts tīmekļa serveris. Iekļūstot hakeros, tīklā viņi pārvietojas, izmantojot labi zināmas metodes. Galu galā viņi var izmantot nozagtus akreditācijas datus, lai piekļūtu upura tīklam, izmantojot korporatīvo VPN.

Vienā gadījumā hakeru grupa pat spēja apiet divu faktoru autentifikāciju, kas paredzēta šādu uzbrukumu novēršanai. Lai to izdarītu, hakeri izstrādāja paņēmienu, lai izgūtu 2 faktoru kodus, lai izveidotu savienojumu ar uzņēmuma VPN serveri un dotu sev atļauju pieteikties. Tika atklāti arī citi individuāli izgatavoti rīki..

Pēc tam hakeri izmantoja vairākus backdoor un atvērtā koda rīkus, lai tālāk iefiltrētos tīklā, lai manuāli identificētu un apkopotu informāciju. Pēc datu lejupielādes visas pēdas tika noslaucītas, lai kavētu padziļinātu kriminālistiku, un aizmugures durvis tika aizvērtas.

Daudzi cietušie visā pasaulē

Fox-IT nevēlas pieminēt upuru vārdus. Bet holandieši sniedza to nozaru sarakstu, kurās APT20 darbojas.

Upuru vidū ir aviācijas uzņēmumi, celtniecības uzņēmumi, enerģētikas nozare, finanšu iestādes, veselības aprūpes organizācijas, ārzonas inženierijas uzņēmumi, programmatūras izstrādātāji un transporta uzņēmumi..

Ietekmētās valstis bija Brazīlija, Ķīna, Francija, Vācija, Itālija, Meksika, Portugāle, Spānija, ASV un Lielbritānija.

Izdarītas vairākas kļūdas Ķīnas hakeru grupā

Spiegošanas laikā hakeri pieļāva vairākas kļūdas, atstājot aiz sevis “pirkstu nospiedumus”.

Piemēram,

  • Bija daži valodas noplūdes iestatījumi, kas norāda, ka hakeri darbojas pārlūkprogrammā ar ķīniešu valodas iestatījumu.
  • Reģistrējot īrētu serveri, hakeri sniedza neeksistējošu ASV adresi, bet nejauši ķīniešu burtiem uzrakstīja Luiziānas štata nosaukumu.
  • Vienu brīdi hakeri izmantoja kodu, kuru varēja atrast tikai ķīniešu forumā.

Pēc brīža arī holandiešu drošības pētnieki sāka pamanīt, ka hakeri stingri ievēro Ķīnas darba laiku.

Fox-IT izmeklēšanas nosaukums “Operācija Wocao” bija viena no komandām, ko hakeri izpildīja, satracināti mēģinot piekļūt izdzēstiem tīmekļa elementiem, pēc tam, kad Fox-IT apgriezās digitālā ielaušanās.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map