Chinese Hacking Group lanserer Global Attacks | VPNoverview.com

Et nederlandsk sikkerhetsselskap, kalt Fox-IT, ga i dag ut en rapport etter deres etterforskning av kinesisk cyberspionasje. I løpet av de to siste årene har datasystemene til dusinvis av selskaper og offentlige institusjoner over hele verden blitt angrepet. Nederlenderen konkluderte med høy grad av sikkerhet at en kinesisk hackinggruppe står bak angrepene.


Global Cyber ​​Espionage-kampanje oppdaget

Etterforskningen som heter “Operation Wocao” (我 操, “Wǒ cāo” på kinesisk, slang for “dritt” eller “forbannet”) fant sted over et spenn på nesten to år. Hollandske sikkerhetsforskere sier at alle bevis peker på en skyggefull kinesisk hackinggruppe kalt APT20, som sannsynligvis jobber i den kinesiske regjeringens interesse.

Fox-IT oppdaget gruppens hackingkampanje sommeren 2018, mens hun utførte en analyse av kompromitterte datasystemer for en av kundene. De var i stand til å følge løypa og avdekket dusinvis av lignende angrep som hadde blitt utført av samme gruppe.

I en lang rapport forklarer nederlenderen at “Svært lite er offentlig kjent eller publisert om skuespilleren som vi beskriver, men i stedet for å gi denne skuespilleren et eget alias, valgte vi å nå ut til industripartnere. Dette hjalp oss til å tilskrive noen av de tidligere upubliserte teknikkene og verktøyene i denne rapporten, med middels selvtillit, til en kinesisk trusselaktør kjent som APT20. Basert på observerte ofre for denne skuespilleren vurderer vi også at denne trusselaktøren sannsynligvis jobber i den kinesiske regjeringens interesse. ”

Målet er ikke penger, men kunnskap

Hackerne stjeler ikke penger eller installerer ransomware. De leter bare etter forretningssensitiv informasjon og kunnskap, noe den kinesiske regjeringen spesielt ville være interessert i.

Nøyaktig hvor mye data angriperne har klart å høste de siste årene, kan ikke konstateres. Det som er kjent, er at mellom 2009 og 2014 har APT20 (også kjent som Violin Panda og th3bug) blitt assosiert med hackingkampanjer rettet mot universiteter, militæret, helseorganisasjoner og telekommunikasjonsselskaper.

I følge Fox-IT gikk den kinesiske hacking-gruppen i dvale i flere år. Imidlertid har den nylig dukket opp igjen og har rolig vært rettet mot selskaper og offentlige etater.

Noen romanteknikker brukt

Rapporten gir en oversikt over teknikkene de nederlandske sikkerhetsforskerne vet at APT20 bruker. Det første tilgangspunktet er vanligvis en sårbar eller allerede kompromittert webserver. Når de er inne, beveger hackerne seg gjennom nettverket ved å bruke kjente metoder. Etter hvert kan de bruke stjålet legitimasjon for å få tilgang til offerets nettverk gjennom bedrifts VPN.

I ett tilfelle var hackergruppen til og med i stand til å omgå en form for tofaktorautentisering som skulle forhindre slike angrep. For å gjøre dette utviklet hackerne en teknikk for å hente de 2 faktorkodene for å koble seg til selskapets VPN-server og gi seg selv tillatelse til å logge inn. Andre spesialtilpassede verktøy ble også oppdaget.

Deretter brukte hackerne flere bakdør- og open source-verktøy for å infiltrere videre i nettverket for manuelt å identifisere og samle informasjon. Etter nedlasting av dataene ble alle spor slettet for å hindre en grundig rettsmedisinsk undersøkelse, og bakdøren ble stengt.

Tallrike ofre over hele kloden

Fox-IT ønsker ikke å nevne ofrene. Men nederlenderne ga en liste over sektorer der APT20 er aktive.

Blant ofrene er luftfartsselskaper, byggefirmaer, energisektoren, finansinstitusjoner, helseorganisasjoner, offshore ingeniørselskaper, programvareutviklere og transportselskaper.

Land som var berørt, omfattet Brasil, Kina, Frankrike, Tyskland, Italia, Mexico, Portugal, Spania, USA og Storbritannia.

Flere feil den kinesiske Hacking Group Made

Under spionasjearbeidet deres gjorde hackerne flere feil og etterlot seg “fingeravtrykk”.

For eksempel,

  • Det var noen lekke språkinnstillinger, noe som indikerte at hackerne kjørte en nettleser med kinesisk språkinnstilling.
  • Når du registrerte en leid server, oppga hackerne en ikke-eksisterende adresse i USA, men skrev utilsiktet navnet på staten Louisiana med kinesiske tegn.
  • På et tidspunkt brukte hackerne en kode som bare ble funnet på et kinesisk forum.

Etter en stund begynte de nederlandske sikkerhetsforskerne også å legge merke til at hackerne strengt holdt seg til kinesiske kontortid.

Navnet på Fox-ITs undersøkelse “Operation Wocao”, var en av kommandoene som ble utført av hackerne i et frustrert forsøk på å få tilgang til slettede webshells, etter at Fox-IT reverserte det digitale innbruddet.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me