Kitajska hekerska skupina ponovno sproži globalne napade | VPNoverview.com

Nizozemska varnostna družba, imenovana Fox-IT, je danes objavila poročilo po njihovi preiskavi kitajskega spletnega vohunjenja. V zadnjih dveh letih so bili napadli računalniški sistemi več deset podjetij in vladnih institucij po vsem svetu. Nizozemci so z veliko mero gotovosti zaključili, da za napadi stoji kitajska hekerska skupina.


Odkrita globalna kampanja za kibernetsko vohunjenje

Preiskava z imenom “Operacija Wocao” (我 操, “Wǒ cāo” v kitajščini, sleng za “sranje” ali “prekleto”) je potekala v skoraj dveh letih. Nizozemski varnostni raziskovalci trdijo, da vsi dokazi kažejo na senčno kitajsko hekersko skupino APT20, ki verjetno deluje v interesu kitajske vlade.

Fox-IT je poleti 2018 odkril hekersko kampanjo skupine, medtem ko je za eno od svojih strank izvedel analizo ogroženih računalniških sistemov. Bili so lahko po sledeh in odkrili na desetine podobnih napadov, ki jih je izvedla ista skupina.

Nizozemci v dolgotrajnem poročilu pojasnjujejo, da je “zelo malo znanega ali objavljenega o igralcu, ki ga opisujemo, vendar namesto da temu igralcu damo svoj vzdevek, smo se odločili, da se obrnemo na industrijske partnerje. To nam je pomagalo pripisati nekatere od prej neobjavljenih tehnik in orodij v tem poročilu s srednje zaupanjem kitajskemu akterju grožnje, znanemu kot APT20. Na podlagi opaženih žrtev tega akterja tudi ocenjujemo, da ta akter grožnje verjetno deluje v interesu kitajske vlade. “

Cilj ni denar, ampak znanje

Hekerji ne kradejo denarja in ne nameščajo odkupa. Iščejo zgolj poslovne in občutljive informacije in znanje, kar bi kitajsko vlado še posebej zanimalo.

Točno koliko podatkov je napadalcem uspelo pridobiti v zadnjih nekaj letih, ni mogoče ugotoviti. Znano je, da je bil med letoma 2009 in 2014 APT20 (znan tudi kot Violin Panda in th3bug) povezan s hekerskimi akcijami, ki so usmerjene na univerze, vojsko, zdravstvene organizacije in telekomunikacijska podjetja.

Po poročanju Fox-IT je kitajska hekerska skupina nekaj let mirovala. Vendar se je pred kratkim pojavila in se tiho usmerja v podjetja in vladne agencije.

Nekaj ​​uporabljenih novih tehnik

Poročilo ponuja pregled tehnik, ki jih nizozemski raziskovalci na področju varnosti poznajo kot APT20. Začetna točka dostopa je običajno ranljiv ali že ogrožen spletni strežnik. Ko se vdrejo v notranjost, se hekerji premikajo po omrežju z dobro znanimi metodami. Sčasoma lahko uporabijo ukradene poverilnice za dostop do omrežja žrtve prek korporativnega VPN-ja.

V enem primeru je hekerski skupini uspelo celo zaobiti obliko dvofaktorske overitve, katere namen je bil preprečiti takšne napade. V ta namen so hekerji razvili tehniko za pridobivanje 2 faktorskih kod za povezavo s strežnikom VPN podjetja in za dovoljenje za prijavo. Odkrita so bila tudi druga prilagojena orodja.

Nato so hekerji uporabili več zalednih in odprtokodnih orodij, da so se vdrli v omrežje, da bi ročno identificirali in zbirali informacije. Po prenosu podatkov so bili zbrisani vsi sledovi, ki so ovirali poglobljeno forenzično preiskavo, zaledje pa je bilo zaprto.

Številne žrtve po vsem svetu

Fox-IT ne želi omeniti imen žrtev. Toda Nizozemci so dali seznam sektorjev, v katerih APT20 deluje.

Med žrtvami so letalska podjetja, gradbena podjetja, energetski sektor, finančne ustanove, zdravstvene organizacije, podjetja za inženiring na morju, razvijalci programske opreme in transportna podjetja.

Vpletene države so bile Brazilija, Kitajska, Francija, Nemčija, Italija, Mehika, Portugalska, Španija, ZDA in Velika Britanija.

Več napak, ki jih je naredila kitajska hekerska skupina

Med vohunjenjem so hekerji storili več napak in pustili za seboj “prstne odtise”.

Na primer,

  • Nastalo je nekaj nastavitev jezika, ki kažejo, da so hekerji poganjali brskalnik z nastavitvijo kitajskega jezika.
  • Ob registraciji izposojenega strežnika so hekerji navedli neobstoječi ameriški naslov, a so nenamerno zapisali ime zvezne države Louisiana v kitajskih črkah.
  • V nekem trenutku so hekerji uporabili kodo, ki jo je bilo mogoče najti le na kitajskem forumu.

Čez nekaj časa so tudi nizozemski raziskovalci na področju varnosti začeli opažati, da so hekerji strogo spoštovali kitajske pisarniške ure.

Ime preiskave Fox-IT-ja „Operacija Wocao“ je bil eden od ukazov, ki so jih hekerji izvršili v frustriranem poskusu dostopa do izbrisanih spletnih mest, potem ko je Fox-IT obrnil digitalni vložek.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me