Chinese Hacking Group startar om globala attacker | VPNoverview.com

Ett holländskt säkerhetsföretag, kallad Fox-IT, släppte idag en rapport efter deras utredning av kinesisk cyberpionage. Under de senaste två åren har datasystemen från dussintals företag och statliga institutioner världen över attackerats. Nederländerna drog slutsatsen med hög säkerhet att en kinesisk hackgrupp står bakom attackerna.


Global Cyber ​​Espionage-kampanj upptäckt

Utredningen med namnet “Operation Wocao” (我 操, “Wǒ cāo” på kinesiska, slang för “skit” eller “jävla”) ägde rum under en period av nästan två år. Holländska säkerhetsforskare säger att alla bevis pekar på en skuggig kinesisk hackinggrupp som heter APT20, som troligen fungerar i den kinesiska regeringens intresse.

Fox-IT upptäckte gruppens hackingkampanj sommaren 2018, medan han genomförde en analys av komprometterade datorsystem för en av dess kunder. De kunde följa spåret och avslöjade dussintals liknande attacker som hade utförts av samma grupp.

I en längre rapport förklarar holländarna att ”Mycket lite är offentligt känt eller publicerat om den skådespelaren som vi beskriver, men snarare än att ge denna skådespelare ett eget alias, valde vi att nå ut till branschpartner. Detta hjälpte oss att tillskriva en del av de tidigare opublicerade teknikerna och verktygen i denna rapport, med medelförtroende, till en kinesisk hotaktör, känd som APT20. Baserat på de observerade offren för denna skådespelare bedömer vi också att denna hotaktör troligtvis arbetar i den kinesiska regeringens intresse. ”

Målet är inte pengar, utan kunskap

Hackarna stjäl inte pengar eller installerar ransomware. De letar rent efter företagskänslig information och kunskap, något som den kinesiska regeringen i synnerhet skulle vara intresserad av.

Exakt hur mycket data angriparna har lyckats skörda de senaste åren kan inte fastställas. Det som är känt är att mellan 2009 och 2014 har APT20 (även känd som Violin Panda och th3bug) associerats med hackningskampanjer riktade till universitet, militären, hälsovårdsorganisationer och telekommunikationsföretag.

Enligt Fox-IT gick den kinesiska hacking-gruppen vilande i flera år. Den har dock nyligen dykt upp och har tyst inriktat sig på företag och myndigheter.

Några nya tekniker används

Rapporten ger en översikt över de tekniker som holländska säkerhetsforskare vet att APT20 använder. Den ursprungliga åtkomstpunkten är vanligtvis en sårbar eller redan kompromitterad webbserver. När de väl är inne rör sig hackarna genom nätverket med välkända metoder. Så småningom kan de använda stulna referenser för att få åtkomst till offrets nätverk via företagets VPN.

I ett fall kunde hackergruppen till och med kringgå en form av tvåfaktorautentisering avsedd att förhindra sådana attacker. För att göra det utvecklade hackarna en teknik för att hämta de två faktorkoderna för att ansluta till företagets VPN-server och ge sig själva tillåtelse att logga in. Andra specialtillverkade verktyg upptäcktes också.

Därefter använde hackarna flera bakdörr- och open source-verktyg för att infiltrera ytterligare i nätverket för att manuellt identifiera och samla information. Efter nedladdning av data torkades alla spår för att hindra en djupgående kriminalteknisk undersökning, och bakdörren stängdes.

Många offer över hela världen

Fox-IT vill inte nämna namnen på offren. Men holländarna gav en lista över sektorer där APT20 är aktiva.

Bland offren finns luftfartsföretag, byggföretag, energisektorn, finansinstitut, hälsovårdsorganisationer, offshore-teknikföretag, mjukvaruutvecklare och transportföretag.

De drabbade länderna inkluderade Brasilien, Kina, Frankrike, Tyskland, Italien, Mexiko, Portugal, Spanien, USA och Storbritannien.

Flera misstag gjorde den kinesiska hackingsgruppen

Under deras spionage-arbete gjorde hackarna flera misstag och lämnade “fingeravtryck” bakom sig.

Till exempel,

  • Det fanns några läckta språkinställningar, vilket indikerade att hackarna körde en webbläsare med en kinesisk språkinställning.
  • När man registrerade en hyrd server tillhandahöll hackarna en icke-befintlig amerikansk adress, men av misstag skrev namnet på staten Louisiana i kinesiska tecken.
  • Vid en tidpunkt använde hackarna en kod som bara kunde hittas på ett kinesiskt forum.

Efter ett tag började de nederländska säkerhetsforskarna att märka att hackarna strikt följde kinesiska kontorstid.

Namnet på Fox-IT: s undersökning “Operation Wocao”, var ett av de kommandon som utfördes av hackarna i ett frustrerat försök att få åtkomst till raderade webshells, efter att Fox-IT vänt det digitala inbrottet.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me