Chinese hackgroep herintroduceert wereldwijde aanvallen | VPNoverview.com

Een Nederlands beveiligingsbedrijf, Fox-IT genaamd, heeft vandaag een rapport uitgebracht naar aanleiding van hun onderzoek naar Chinese cyberspionage. De afgelopen twee jaar zijn de computersystemen van tientallen bedrijven en overheidsinstellingen wereldwijd aangevallen. Nederlanders concludeerden met grote zekerheid dat er een Chinese hackgroep achter de aanslagen zit.


Wereldwijde cyberspionagecampagne ontdekt

Het onderzoek met de naam “Operatie Wocao” (我 操, “Wǒ cāo” in het Chinees, jargon voor “shit” of “verdomme”) vond plaats gedurende een periode van bijna twee jaar. Nederlandse veiligheidsonderzoekers zeggen dat alle aanwijzingen wijzen op een schimmige Chinese hackgroep genaamd APT20, die waarschijnlijk in het belang van de Chinese overheid werkt.

Fox-IT ontdekte de hackcampagne van de groep in de zomer van 2018 en voerde een analyse uit van gecompromitteerde computersystemen voor een van haar klanten. Ze waren in staat om het pad te volgen en ontdekten tientallen vergelijkbare aanvallen die door dezelfde groep waren uitgevoerd.

In een uitgebreid rapport leggen de Nederlanders uit: “Er is heel weinig bekend of gepubliceerd over de acteur die we beschrijven, maar in plaats van deze acteur een eigen alias te geven, kozen we ervoor contact op te nemen met partners uit de industrie. Dit heeft ons geholpen om enkele van de niet eerder gepubliceerde technieken en tools in dit rapport met een gemiddeld vertrouwen toe te schrijven aan een Chinese bedreigingsacteur die bekend staat als APT20. Op basis van de waargenomen slachtoffers van deze acteur beoordelen we ook dat deze dreigingsactor waarschijnlijk in het belang van de Chinese overheid werkt. ”

Het doel is niet geld, maar kennis

De hackers stelen geen geld en installeren geen ransomware. Ze zijn puur op zoek naar bedrijfsgevoelige informatie en kennis, iets waar vooral de Chinese overheid in geïnteresseerd zou zijn.

Hoeveel gegevens de aanvallers de afgelopen jaren precies hebben weten te verzamelen, kan niet worden vastgesteld. Wat bekend is, is dat APT20 (ook bekend als Violin Panda en th3bug) tussen 2009 en 2014 is geassocieerd met hackcampagnes gericht op universiteiten, het leger, gezondheidszorgorganisaties en telecommunicatiebedrijven.

Volgens Fox-IT is de Chinese hackgroep meerdere jaren inactief geweest. Het is echter onlangs weer opgedoken en richt zich stilletjes op bedrijven en overheidsinstanties.

Enkele nieuwe gebruikte technieken

Het rapport geeft een overzicht van de technieken die de Nederlandse beveiligingsonderzoekers kennen van APT20. Het eerste toegangspunt is meestal een kwetsbare of reeds gecompromitteerde webserver. Eenmaal binnen bewegen de hackers zich volgens bekende methoden door het netwerk. Uiteindelijk kunnen ze gestolen gegevens gebruiken om via bedrijfs-VPN toegang te krijgen tot het netwerk van het slachtoffer.

In één geval kon de hackergroep zelfs een vorm van tweefactorauthenticatie omzeilen die bedoeld was om dergelijke aanvallen te voorkomen. Om dit te doen, ontwikkelden de hackers een techniek om de 2-factorcodes op te halen om verbinding te maken met de VPN-server van het bedrijf en zichzelf toestemming te geven om in te loggen. Er werden ook andere op maat gemaakte tools ontdekt.

Vervolgens gebruikten de hackers verschillende backdoor- en open source-tools om verder in het netwerk te infiltreren om handmatig informatie te identificeren en te verzamelen. Na het downloaden van de gegevens zijn alle sporen verwijderd om een ​​diepgaand forensisch onderzoek te belemmeren en is de achterdeur gesloten.

Talloze slachtoffers over de hele wereld

Fox-IT wil de namen van slachtoffers niet noemen. Maar Nederlanders gaven wel een lijst van sectoren waarin APT20 actief is.

Onder de slachtoffers zijn luchtvaartbedrijven, bouwbedrijven, de energiesector, financiële instellingen, zorginstellingen, offshore engineeringbedrijven, softwareontwikkelaars en transportbedrijven.

De getroffen landen waren Brazilië, China, Frankrijk, Duitsland, Italië, Mexico, Portugal, Spanje, de VS en het VK.

Verschillende fouten gemaakt door de Chinese hackgroep

Tijdens hun spionagewerk maakten de hackers verschillende fouten en lieten “vingerafdrukken” achter.

Bijvoorbeeld,

  • Er waren enkele gelekte taalinstellingen, wat aangeeft dat de hackers een browser met een Chinese taalinstelling gebruikten.
  • Bij het registreren van een gehuurde server gaven de hackers een niet-bestaand Amerikaans adres op, maar schreven per ongeluk de naam van de staat Louisiana in Chinese karakters.
  • Op een gegeven moment gebruikten de hackers een code die alleen op een Chinees forum te vinden was.

Na een tijdje merkten de Nederlandse veiligheidsonderzoekers ook dat de hackers zich strikt aan de Chinese kantooruren hielden.

De naam van het onderzoek “Operation Wocao” van Fox-IT was een van de opdrachten die de hackers uitvoerden in een gefrustreerde poging om toegang te krijgen tot verwijderde webshells, nadat Fox-IT de digitale inbraak had teruggedraaid.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me