Chinesische Hacking-Gruppe startet globale Angriffe neu | VPNoverview.com

Eine niederländische Sicherheitsfirma namens Fox-IT hat heute einen Bericht veröffentlicht, nachdem sie die chinesische Cyberspionage untersucht hatte. In den letzten zwei Jahren wurden die Computersysteme von Dutzenden von Unternehmen und Regierungsinstitutionen weltweit angegriffen. Die Niederländer kamen mit hoher Sicherheit zu dem Schluss, dass eine chinesische Hacking-Gruppe hinter den Angriffen steckt.


Globale Cyberspionagekampagne entdeckt

Die Untersuchung mit dem Namen „Operation Wocao“ (Chinese 操, „Wǒ cāo“ auf Chinesisch, Slang für „Scheiße“ oder „Verdammt“) fand über einen Zeitraum von fast zwei Jahren statt. Niederländische Sicherheitsforscher sagen, dass alle Beweise auf eine schattige chinesische Hacking-Gruppe namens APT20 hinweisen, die wahrscheinlich im Interesse der chinesischen Regierung arbeitet.

Fox-IT entdeckte die Hacking-Kampagne der Gruppe im Sommer 2018 und führte für einen ihrer Kunden eine Analyse kompromittierter Computersysteme durch. Sie konnten der Spur folgen und Dutzende ähnlicher Angriffe aufdecken, die von derselben Gruppe ausgeführt worden waren.

In einem Langzeitbericht erklären die Niederländer: „Über den von uns beschriebenen Schauspieler ist nur sehr wenig öffentlich bekannt oder veröffentlicht, aber anstatt diesem Schauspieler einen eigenen Alias ​​zu geben, haben wir uns entschlossen, Industriepartner zu erreichen. Dies hat uns geholfen, einige der bisher unveröffentlichten Techniken und Werkzeuge in diesem Bericht mit mittlerem Vertrauen einem chinesischen Bedrohungsakteur namens APT20 zuzuschreiben. Basierend auf den beobachteten Opfern dieses Akteurs bewerten wir auch, dass dieser Bedrohungsakteur wahrscheinlich im Interesse der chinesischen Regierung arbeitet. “

Das Ziel ist nicht Geld, sondern Wissen

Die Hacker stehlen kein Geld und installieren keine Ransomware. Sie suchen lediglich nach geschäftssensiblen Informationen und Kenntnissen, an denen insbesondere die chinesische Regierung interessiert wäre.

Wie viele Daten die Angreifer in den letzten Jahren gesammelt haben, kann nicht festgestellt werden. Bekannt ist, dass APT20 (auch bekannt als Violin Panda und th3bug) zwischen 2009 und 2014 mit Hacking-Kampagnen gegen Universitäten, Militär, Gesundheitsorganisationen und Telekommunikationsunternehmen in Verbindung gebracht wurde.

Laut Fox-IT blieb die chinesische Hacking-Gruppe mehrere Jahre lang inaktiv. Es ist jedoch kürzlich wieder aufgetaucht und zielt stillschweigend auf Unternehmen und Regierungsbehörden ab.

Einige neuartige Techniken verwendet

Der Bericht bietet einen Überblick über die Techniken, die die niederländischen Sicherheitsforscher mit APT20 kennen. Der anfängliche Zugriffspunkt ist normalerweise ein anfälliger oder bereits gefährdeter Webserver. Einmal drinnen, bewegen sich die Hacker mit bekannten Methoden durch das Netzwerk. Schließlich können sie gestohlene Anmeldeinformationen verwenden, um über Unternehmens-VPN auf das Netzwerk des Opfers zuzugreifen.

In einem Fall konnte die Hacker-Gruppe sogar eine Form der Zwei-Faktor-Authentifizierung umgehen, um solche Angriffe zu verhindern. Zu diesem Zweck entwickelten die Hacker eine Technik zum Abrufen der 2-Faktor-Codes, um eine Verbindung zum VPN-Server des Unternehmens herzustellen und sich die Berechtigung zum Anmelden zu erteilen. Es wurden auch andere maßgeschneiderte Tools entdeckt.

Als Nächstes infiltrierten die Hacker mithilfe mehrerer Backdoor- und Open Source-Tools weiter in das Netzwerk, um Informationen manuell zu identifizieren und zu sammeln. Nach dem Herunterladen der Daten wurden alle Spuren gelöscht, um eine eingehende forensische Untersuchung zu verhindern, und die Hintertür wurde geschlossen.

Zahlreiche Opfer auf der ganzen Welt

Fox-IT möchte die Namen der Opfer nicht erwähnen. Die Niederländer gaben jedoch eine Liste der Sektoren an, in denen APT20 aktiv sind.

Unter den Opfern sind Luftfahrtunternehmen, Bauunternehmen, der Energiesektor, Finanzinstitute, Gesundheitsorganisationen, Offshore-Ingenieurbüros, Softwareentwickler und Transportunternehmen.

Zu den betroffenen Ländern gehörten Brasilien, China, Frankreich, Deutschland, Italien, Mexiko, Portugal, Spanien, die USA und Großbritannien.

Mehrere Fehler, die die chinesische Hacking Group gemacht hat

Während ihrer Spionagearbeit machten die Hacker mehrere Fehler und hinterließen „Fingerabdrücke“..

Zum Beispiel,

  • Es gab einige durchgesickerte Spracheinstellungen, die darauf hinwiesen, dass die Hacker einen Browser mit einer chinesischen Spracheinstellung ausführten.
  • Bei der Registrierung eines gemieteten Servers gaben die Hacker eine nicht existierende US-Adresse an, schrieben jedoch versehentlich den Namen des Bundesstaates Louisiana in chinesischen Schriftzeichen.
  • Einmal verwendeten die Hacker einen Code, der nur in einem chinesischen Forum zu finden war.

Nach einer Weile bemerkten die niederländischen Sicherheitsforscher auch, dass die Hacker die chinesischen Bürozeiten strikt einhielten.

Der Name der Fox-IT-Untersuchung “Operation Wocao” war einer der Befehle, die von den Hackern ausgeführt wurden, um auf gelöschte Webshells zuzugreifen, nachdem Fox-IT den digitalen Einbruch rückgängig gemacht hatte.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map