Kinesisk Hacking Group genoptager globale angreb | VPNoverview.com

Et hollandsk sikkerhedsfirma kaldet Fox-IT frigav i dag en rapport efter deres undersøgelse af kinesisk cyberspionage. I de sidste to år er computersystemer fra snesevis af virksomheder og regeringsinstitutioner overalt i verden blevet angrebet. Hollænderne konkluderede med en høj grad af sikkerhed, at en kinesisk hackinggruppe står bag angrebene.


Global Cyber ​​Espionage-kampagne opdaget

Undersøgelsen med navnet “Operation Wocao” (我 操, “Wǒ cāo” på kinesisk, slang for “lort” eller “forbandet”) fandt sted over en periode på næsten to år. Hollandske sikkerhedsforskere siger, at alle beviser peger på en skyggefuld kinesisk hackinggruppe kaldet APT20, der sandsynligvis fungerer i den kinesiske regerings interesse.

Fox-IT opdagede gruppens hackingkampagne sommeren 2018, mens den foretog en analyse af kompromitterede computersystemer for en af ​​sine klienter. De var i stand til at følge stien og afslørede snesevis af lignende angreb, der var blevet udført af den samme gruppe.

I en langvarig rapport forklarer hollænderne, at “Meget lidt er offentligt kendt eller offentliggjort om den skuespiller, som vi beskriver, men snarere end at give denne skuespiller et alias af vores egne, valgte vi at nå ud til branchepartnere. Dette hjalp os med at tilskrive nogle af de tidligere ikke-offentliggjorte teknikker og værktøjer i denne rapport med medium tillid til en kinesisk trusselaktør kendt som APT20. Baseret på de observerede ofre for denne skuespiller vurderer vi også, at denne trusselaktør sandsynligvis arbejder i den kinesiske regerings interesse. ”

Målet er ikke penge, men viden

Hackerne stjæler ikke penge eller installerer ransomware. De er rent på udkig efter forretningssensitiv information og viden, noget som den kinesiske regering især ville være interesseret i.

Præcis hvor mange data angribere har formået at høste i de sidste par år kan ikke konstateres. Hvad der er kendt, er, at mellem 2009 og 2014 har APT20 (også kendt som Violin Panda og th3bug) været forbundet med hackingkampagner rettet mod universiteter, militæret, sundhedsorganisationer og telekommunikationsfirmaer.

Ifølge Fox-IT gik den kinesiske hacking-gruppe i dvale i flere år. Imidlertid er den for nylig dukket op igen og har roligt været rettet mod virksomheder og offentlige agenturer.

Nogle anvendte romanteknikker

Rapporten giver et overblik over de teknikker, som de hollandske sikkerhedsforskere ved, at APT20 bruger. Det oprindelige adgangspunkt er normalt en sårbar eller allerede kompromitteret webserver. Når de først er inde, bevæger hackerne sig gennem netværket ved hjælp af velkendte metoder. Til sidst kan de bruge stjålne legitimationsoplysninger til at få adgang til offerets netværk gennem virksomhedens VPN.

I et tilfælde var hackergruppen endda i stand til at omgå en form for to-faktor-godkendelse, der var bestemt til at forhindre sådanne angreb. For at gøre dette udviklede hackerne en teknik til at hente de 2 faktorkoder for at oprette forbindelse til virksomhedens VPN-server og give sig selv tilladelse til at logge ind. Andre specialfremstillede værktøjer blev også opdaget.

Dernæst brugte hackerne adskillige bagdør og open source-værktøjer til at infiltrere yderligere ind i netværket for manuelt at identificere og indsamle information. Efter download af dataene blev alle spor udslettet for at hindre en dybdegående retsmedicinsk undersøgelse, og bagdøren blev lukket.

Talrige ofre over hele kloden

Fox-IT ønsker ikke at nævne ofrene. Men hollænderne gav en liste over sektorer, hvor APT20 er aktive.

Blandt ofrene er luftfartsselskaber, byggefirmaer, energisektoren, finansielle institutioner, sundhedsorganisationer, offshore ingeniørfirmaer, softwareudviklere og transportselskaber.

De berørte lande omfattede Brasilien, Kina, Frankrig, Tyskland, Italien, Mexico, Portugal, Spanien, USA og Storbritannien.

Flere fejl den kinesiske Hacking Group Made

Under deres spionagearbejder begik hackerne flere fejl og efterlod “fingeraftryk”.

For eksempel,

  • Der var nogle lække sprogindstillinger, hvilket indikerede, at hackerne kørte en browser med en kinesisk sprogindstilling.
  • Ved registreringen af ​​en lejet server angav hackerne en ikke-eksisterende amerikansk adresse, men skrev utilsigtet navnet på staten Louisiana i kinesiske tegn.
  • På et tidspunkt brugte hackerne en kode, der kun kunne findes på et kinesisk forum.

Efter et stykke tid begyndte de hollandske sikkerhedsforskere også at bemærke, at hackerne strengt overholdt den kinesiske kontortid.

Navnet på Fox-IT’s undersøgelse “Operation Wocao”, var en af ​​de kommandoer, der blev udført af hackere i et frustreret forsøg på at få adgang til slettede webshells, efter at Fox-IT vendte om det digitale indbrud.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me