El grup de pirateria xinès torna a posar en marxa atacs globals | VPNoverview.com

Una companyia de seguretat holandesa, anomenada Fox-IT, ha publicat avui un informe després de la seva investigació sobre l’espionatge cibernètic xinès. En els darrers dos anys, s’han atacat els sistemes informàtics de desenes d’empreses i institucions governamentals de tot el món. Els holandesos van concloure amb un alt grau de certesa que un grup de pirateria xinès està al darrere dels atacs.


S’ha descobert una campanya global d’espionatge cibernètic

La investigació anomenada “Operació Wocao” (我 操, “Wǒ cāo” en xinès, argot per “merda” o “maleït”) va tenir lloc durant gairebé dos anys. Els investigadors de seguretat holandesos asseguren que totes les proves es troben en un ombrívol grup de pirateria xinès anomenat APT20, que probablement funciona en interès del govern xinès.

Fox-IT va descobrir la campanya de pirateria del grup a l’estiu de 2018, mentre que va realitzar una anàlisi dels sistemes informàtics compromesos per a un dels seus clients. Van poder seguir el rastre i van descobrir desenes d’atacs similars que havien dut a terme el mateix grup.

En un llarg informe, els holandesos expliquen que “es coneix o es publica molt poc sobre l’actor que descrivim, però en lloc de donar un àlies propi a aquest actor, vam optar per contactar amb els socis de la indústria. Això ens va ajudar a atribuir algunes de les tècniques i eines anteriorment no publicades d’aquest informe, amb confiança mitjana, a un actor d’amenaça xinès conegut com APT20. A partir de les víctimes observades d’aquest actor, també valorem que aquest actor amenaça probablement funcioni en interès del govern xinès ”.

L’objectiu no és diners, sinó coneixement

Els hackers no roben diners ni instal·len ransomware. Busquen informació i coneixement sensibles als negocis, cosa que en particular li interessaria al govern xinès.

No es pot determinar exactament la quantitat de dades que els atacants han aconseguit recollir durant els últims anys. El que se sap, és que entre 2009 i 2014, APT20 (també coneguda com Violin Panda i th3bug) s’ha associat a campanyes de pirateria dirigides a universitats, militars, organitzacions sanitàries i empreses de telecomunicacions..

Segons Fox-IT, el grup de pirateria xinès es va quedar latent durant diversos anys. Tot i això, recentment ha ressorgit i s’ha orientat tranquil·lament a empreses i agències governamentals.

Algunes tècniques de novetat utilitzades

L’informe proporciona una visió general de les tècniques que els investigadors de seguretat holandesos coneixen els usos de l’APT20. El punt d’accés inicial sol ser un servidor web vulnerable o ja compromès. Un cop dins, els pirates informàtics es mouen per la xarxa mitjançant mètodes coneguts. Finalment, poden utilitzar les credencials robades per accedir a la xarxa de la víctima mitjançant la VPN corporativa.

En un cas, el grup de pirates informàtics va ser capaç d’evitar una forma d’autenticació de dos factors destinada a evitar aquests atacs. Per fer-ho, els pirates informàtics van desenvolupar una tècnica per recuperar els codis de dos factors per connectar-se al servidor VPN de l’empresa i donar-se permís per iniciar sessió. També es van descobrir altres eines personalitzades.

A continuació, els pirates informàtics van utilitzar diverses eines de fons obert i de codi obert per infiltrar-se encara més a la xarxa per identificar i recopilar informació manualment. Després de descarregar les dades, es van esborrar tots els rastres per impedir una investigació forense en profunditat i es va tancar la porta posterior.

Nombroses víctimes a tot el món

Fox-IT no vol esmentar el nom de les víctimes. Però els holandesos van fer una llista de sectors en els quals està activat l’APT20.

Entre les víctimes es troben empreses d’aviació, empreses de construcció, el sector energètic, institucions financeres, organitzacions sanitàries, empreses d’enginyeria de fora de mar, desenvolupadors de programari i empreses de transport..

Entre els països afectats hi havia Brasil, Xina, França, Alemanya, Itàlia, Mèxic, Portugal, Espanya, els Estats Units i el Regne Unit.

Diversos errors que va fer el grup xinès pirateria

Durant la seva tasca d’espionatge, els pirates informàtics van cometre diversos errors, deixant enrere “empremtes dactilars”..

Per exemple,

  • Hi va haver alguns paràmetres de llenguatge filtrats, cosa que indica que els pirates informàtics utilitzaven un navegador amb una configuració d’idioma xinès.
  • Quan es van registrar un servidor llogat, els pirates informàtics van proporcionar una adreça nord-americana inexistent, però inadvertidament van escriure el nom de l’estat de Louisiana en caràcters xinesos.
  • En un moment donat, els pirates informàtics van utilitzar un codi que només es podia trobar en un fòrum xinès.

Al cap d’un temps, els investigadors de seguretat holandesos també van començar a notar que els pirates informàtics s’adherien estrictament a les hores d’oficina xineses.

El nom de la investigació de Fox-IT “Operació Wocao”, va ser un dels comandaments executats pels pirates informàtics en un intent frustrat d’accedir a fulls de pàgina suprimits, després que Fox-IT va revertir l’entrada digital..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map