Chinese Hacking Group stel wêreldwye aanvalle weer van voor af VPNoverview.com

‘N Nederlandse veiligheidsmaatskappy genaamd Fox-IT het vandag ‘n verslag bekend gemaak na hul ondersoek na Chinese kuber-spioenasie. Die afgelope twee jaar is die rekenaarstelsels van tientalle maatskappye en regeringsinstellings wêreldwyd aangeval. Die Nederlanders het met ‘n groot mate van sekerheid afgesluit dat ‘n Chinese hacking-groep agter die aanvalle staan.


Global Cyber ​​Espionage-veldtog ontdek

Die ondersoek met die naam “Operation Wocao” (我 操, “Wǒ cāo” in Chinees, slang vir “shit” of “damn”) het oor ‘n bestek van byna twee jaar plaasgevind. Nederlandse veiligheidsnavorsers sê alle getuienis dui op ‘n skaduagtige Chinese hacking-groep genaamd APT20, wat waarskynlik in die belang van die Chinese regering werk.

Fox-IT het in die somer van 2018 die hacking-veldtog van die groep ontdek, terwyl hy ‘n ontleding gedoen het van gekompromitteerde rekenaarstelsels vir een van sy kliënte. Hulle kon die roete volg en dekades van soortgelyke aanvalle wat deur dieselfde groep uitgevoer is, ontbloot.

In ‘n uitgebreide verslag verduidelik die Nederlanders dat “Baie min in die openbaar bekend of gepubliseer word oor die akteur wat ons beskryf, maar eerder as om hierdie akteur ‘n eie alias te gee, het ons gekies om uit te reik na die vennote in die bedryf. Dit het ons help om sommige van die voorheen ongepubliseerde tegnieke en instrumente in hierdie verslag, met medium vertroue, toe te skryf aan ‘n Chinese bedreigingsakteur, bekend as APT20. Op grond van die waargenome slagoffers van hierdie akteur, beoordeel ons ook dat hierdie bedreigingsakteur waarskynlik in die belang van die Chinese regering werk. ”

Die doel is nie geld nie, maar kennis

Die hackers steel nie geld of installeer ransomware nie. Hulle is bloot op soek na besigheids sensitiewe inligting en kennis, iets waaraan die Chinese regering veral sou belangstel.

Daar kan nie vasgestel word hoeveel data die aanvallers die afgelope paar jaar kon insamel nie. Wat wel bekend is, is dat APT20 (ook bekend as Viool Panda en th3bug) tussen 2009 en 2014 geassosieer is met inbraakveldtogte wat op universiteite, die weermag, organisasies vir gesondheidsorg en telekommunikasieondernemings gerig is..

Volgens Fox-IT het die Chinese hacking-groep etlike jare lank slaap geraak. Dit het egter onlangs weer opgeduik en is stilweg gemik op ondernemings en regeringsagentskappe.

Sommige nuwe tegnieke word gebruik

Die verslag bied ‘n oorsig van die tegnieke wat die Nederlandse veiligheidsnavorsers weet dat APT20 gebruik. Die aanvanklike toegangspunt is gewoonlik ‘n kwesbare of reeds gekompromitteerde webbediener. As hulle binnekant is, beweeg die hackers deur die netwerk met bekende metodes. Uiteindelik kan hulle gesteelde geloofsbriewe gebruik om toegang tot die slagoffer se netwerk via korporatiewe VPN te kry.

In een geval kon die hacker-groep selfs ‘n vorm van twee-faktor-verifikasie omseil wat bedoel was om sulke aanvalle te voorkom. Om dit te doen, het die hackers ‘n tegniek ontwikkel om die 2-faktorkodes op te spoor om aan die VPN-bediener van die onderneming te koppel en hulself toestemming te gee om aan te meld. Ander pasgemaakte gereedskap is ook ontdek.

Vervolgens het die hackers verskillende agterdeur- en open source-instrumente gebruik om verder in die netwerk te infiltreer om inligting met die hand te identifiseer en te versamel. Nadat die data afgelaai is, is alle spore uitgevee om ‘n in diepte forensiese ondersoek te belemmer, en die agterdeur is gesluit.

Talle slagoffers regoor die wêreld

Fox-IT wil nie die name van slagoffers noem nie. Maar die Nederlanders het wel ‘n lys gegee van sektore waarin APT20 aktief is.

Onder die slagoffers tel lugvaartondernemings, konstruksiemaatskappye, die energiesektor, finansiële instellings, gesondheidsorgorganisasies, ingenieursfirmas in die buiteland, sagteware-ontwikkelaars en vervoermaatskappye.

Lande wat geraak is, het Brasilië, China, Frankryk, Duitsland, Italië, Mexiko, Portugal, Spanje, die VSA en die Verenigde Koninkryk ingesluit.

Verskeie foute maak die Chinese Hacking Group Made

Tydens hul spioenasiewerk het die hackers verskeie foute begaan en “vingerafdrukke” agtergelaat..

Byvoorbeeld,

  • Daar was enkele taalinstellings wat uitgelek het, wat daarop dui dat die hackers ‘n blaaier met ‘n Chinese taalinstelling bestuur.
  • By die registrasie van ‘n gehuurde bediener het die hackers ‘n nie-bestaande Amerikaanse adres verskaf, maar per ongeluk het die naam van die staat Louisiana in Chinese karakters geskryf.
  • Op ‘n stadium het die hackers ‘n kode gebruik wat net op ‘n Chinese forum gevind kon word.

Na ‘n ruk het die Nederlandse veiligheidsnavorsers ook begin agterkom dat die hackers streng by die Chinese kantoorure gehou het.

Die naam van Fox-IT se ondersoek “Operation Wocao”, was een van die opdragte wat deur die hackers uitgevoer is in ‘n gefrustreerde poging om toegang tot geskrapte webshells te verkry, nadat Fox-IT die digitale inbraak omgekeer het.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me