Grupo chinês de hackers relança ataques globais | VPNoverview.com

Uma empresa de segurança holandesa, chamada Fox-IT, divulgou hoje um relatório após sua investigação sobre espionagem cibernética chinesa. Nos últimos dois anos, os sistemas de computadores de dezenas de empresas e instituições governamentais em todo o mundo foram atacados. Os holandeses concluíram com um alto grau de certeza que um grupo chinês de hackers está por trás dos ataques.


Campanha global de espionagem cibernética descoberta

A investigação denominada “Operação Wocao” (我 操, “Wǒ cāo” em chinês, gíria para “merda” ou “maldição”) ocorreu em um período de quase dois anos. Pesquisadores de segurança holandeses dizem que todas as evidências apontam para um grupo sombrio de hackers chineses chamado APT20, que provavelmente está trabalhando nos interesses do governo chinês.

A Fox-IT descobriu a campanha de hackers do grupo no verão de 2018, enquanto realizava uma análise de sistemas de computadores comprometidos para um de seus clientes. Eles foram capazes de seguir a trilha e descobriram dezenas de ataques semelhantes que haviam sido realizados pelo mesmo grupo.

Em um relatório detalhado, os holandeses explicam que “muito pouco é conhecido publicamente ou publicado sobre o ator que descrevemos, mas, em vez de dar a esse ator um apelido próprio, optamos por entrar em contato com os parceiros do setor. Isso nos ajudou a atribuir algumas das técnicas e ferramentas não publicadas anteriormente neste relatório, com confiança média, a um ator de ameaças chinês conhecido como APT20. Com base nas vítimas observadas desse ator, também avaliamos que esse ator de ameaça provavelmente está trabalhando no interesse do governo chinês. ”

O objetivo não é dinheiro, mas conhecimento

Os hackers não roubam dinheiro ou instalam ransomware. Eles estão procurando puramente informações e conhecimentos comerciais, algo em que o governo chinês em particular estaria interessado em.

Não é possível determinar exatamente a quantidade de dados que os atacantes conseguiram coletar nos últimos anos. O que se sabe é que entre 2009 e 2014, o APT20 (também conhecido como Violin Panda e th3bug) foi associado a campanhas de hackers direcionadas a universidades, militares, organizações de saúde e empresas de telecomunicações.

Segundo a Fox-IT, o grupo de hackers chineses ficou inativo por vários anos. No entanto, ele ressurgiu recentemente e tem como alvo discreto empresas e órgãos governamentais.

Algumas técnicas novas usadas

O relatório fornece uma visão geral das técnicas que os pesquisadores de segurança holandeses conhecem o APT20. O ponto de acesso inicial geralmente é um servidor da web vulnerável ou já comprometido. Uma vez lá dentro, os hackers se movem pela rede usando métodos conhecidos. Eventualmente, eles podem usar credenciais roubadas para acessar a rede da vítima através da VPN corporativa.

Em um caso, o grupo de hackers foi capaz de contornar uma forma de autenticação de dois fatores destinada a impedir esses ataques. Para fazer isso, os hackers desenvolveram uma técnica para recuperar os dois códigos de fator para conectar-se ao servidor VPN da empresa e dar permissão a si mesmos para efetuar login. Outras ferramentas personalizadas também foram descobertas.

Em seguida, os hackers usaram várias ferramentas de backdoor e de código aberto para se infiltrar ainda mais na rede para identificar e coletar informações manualmente. Após o download dos dados, todos os rastreamentos foram apagados para impedir uma investigação forense aprofundada e a porta dos fundos foi fechada.

Inúmeras vítimas em todo o mundo

A Fox-IT não quer mencionar os nomes das vítimas. Mas os holandeses deram uma lista dos setores em que o APT20 está ativo.

Entre as vítimas estão empresas de aviação, construtoras, setor de energia, instituições financeiras, organizações de saúde, empresas de engenharia offshore, desenvolvedores de software e empresas de transporte.

Os países afetados incluem Brasil, China, França, Alemanha, Itália, México, Portugal, Espanha, EUA e Reino Unido..

Vários erros cometidos pelo grupo chinês de hackers

Durante o trabalho de espionagem, os hackers cometeram vários erros, deixando para trás “impressões digitais”.

Por exemplo,

  • Houve algumas configurações de idioma vazadas, indicando que os hackers estavam executando um navegador com uma configuração de idioma chinês.
  • Ao registrar um servidor alugado, os hackers forneceram um endereço inexistente nos EUA, mas inadvertidamente escreveram o nome do estado da Louisiana em caracteres chineses.
  • A certa altura, os hackers usaram um código que só poderia ser encontrado em um fórum chinês.

Depois de um tempo, os pesquisadores de segurança holandeses também começaram a perceber que os hackers cumpriam estritamente o horário comercial chinês.

O nome da investigação da Fox-IT, “Operação Wocao”, foi um dos comandos executados pelos hackers em uma tentativa frustrada de acessar as conchas da web excluídas, depois que a Fox-IT reverteu a invasão digital..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map