Kiinan hakkerointiryhmä käynnistää globaalit hyökkäykset VPNoverview.com

Hollantilainen Fox-IT-niminen turvayhtiö julkaisi tänään raportin tutkimuksensa jälkeen kiinalaisesta vakoilusta. Kahden viime vuoden aikana on hyökätty kymmenien yritysten ja julkisten laitosten tietokonejärjestelmiin ympäri maailmaa. Hollantilaiset päättelivät suurella varmuudella, että hyökkäysten takana on kiinalainen hakkerointiryhmä.


Globaali verkkovakoilukampanja löydetty

Tutkimus nimeltä ”Operaatio Wocao” (我 操, “Wǒ cāo” kiinaksi, slangi ”paska” tai ”pirun”) tapahtui melkein kahden vuoden ajan. Hollannin turvallisuustutkijoiden mukaan kaikki todisteet viittaavat APT20-nimiseen varjoiseen kiinalaiseen hakkerointiryhmään, joka todennäköisesti toimii Kiinan hallituksen etujen mukaisesti.

Fox-IT löysi ryhmän hakkerointikampanjan kesällä 2018 analysoidessaan yhdelle asiakkaalleen uhanalaisia ​​tietokonejärjestelmiä. He pystyivät seuraamaan polkua ja paljasti kymmeniä samanlaisia ​​hyökkäyksiä, jotka sama ryhmä oli suorittanut.

Hollantilaiset selittävät pitkässä raportissaan, että ”hyvin vähän tiedetään tai julkaistaan ​​kuvaamassamme näyttelijästä, mutta sen sijaan, että antaisimme näyttelijälle oman aliaksen, päätimme ottaa yhteyttä teollisuuskumppaneihin. Tämä auttoi meitä omistamaan joitain aiemmin julkaisemattomia tekniikoita ja työkaluja tässä raportissa keskipitkällä luottavuudella kiinalaiselle uhkatoimijalle, joka tunnetaan nimellä APT20. Tämän näyttelijän havaittujen uhrien perusteella arvioimme myös, että tämä uhkatekijä toimii todennäköisesti Kiinan hallituksen etujen mukaisesti. “

Tavoite ei ole raha, vaan tieto

Hakkerit eivät varasta rahaa tai asenna ransomware-ohjelmistoja. He etsivät puhtaasti yritystoiminnan kannalta arkaluonteisia tietoja ja asioita, joista erityisesti Kiinan hallitus olisi kiinnostunut.

Sitä, kuinka paljon tietoja hyökkääjät ovat onnistuneet keräämään viime vuosina, ei voida selvittää. Tiedetään, että vuosina 2009–2014 APT20 (tunnetaan myös nimellä Violin Panda ja th3bug) on ​​liittynyt hakkerointikampanjoihin, jotka on suunnattu yliopistoille, armeijalle, terveydenhuollon organisaatioille ja teleyrityksille..

Fox-IT: n mukaan kiinalainen hakkerointiryhmä oli lepotilassa useita vuosia. Se on kuitenkin viime aikoina noussut esille ja on hiljaa kohdistunut yrityksiin ja valtion virastoihin.

Jotkut käytetyt uudet tekniikat

Raportti tarjoaa yleiskuvan tekniikoista, joita hollantilaiset turvallisuustutkijat tietävät APT20: n käyttävän. Alkuperäinen käyttöpiste on yleensä haavoittuva tai jo vaarantunut verkkopalvelin. Sisään saapuessaan hakkerit liikkuvat verkon läpi käyttämällä tunnettuja menetelmiä. Lopulta he voivat käyttää varastettuja käyttöoikeustietoja päästäkseen uhrin verkkoon yrityksen VPN: n kautta.

Yhdessä tapauksessa hakkerit ryhmä pystyi jopa kiertämään kahden tekijän todennuksen muodon, jonka tarkoituksena oli estää tällaiset hyökkäykset. Tätä varten hakkerit kehittivät tekniikan noutaa 2 tekijän koodit muodostaa yhteyden yrityksen VPN-palvelimeen ja antaa itselleen luvan kirjautua sisään. Myös muita räätälöityjä työkaluja löydettiin..

Seuraavaksi hakkerit käyttivät useita takaoven ja avoimen lähdekoodin työkaluja tunkeutuakseen edelleen verkkoon manuaalisesti tunnistaakseen ja kerätäkseen tietoja. Tietojen lataamisen jälkeen kaikki jäljet ​​pyyhittiin perusteellisen oikeuslääketutkimuksen estämiseksi, ja takaovi suljettiin.

Lukuisia uhreja ympäri maailmaa

Fox-IT ei halua mainita uhrien nimiä. Mutta hollantilaiset antoivat luettelon aloista, joilla APT20 toimii.

Uhrien joukossa ovat lentoyhtiöt, rakennusyritykset, energia-ala, rahoituslaitokset, terveydenhuolto-organisaatiot, offshore-suunnitteluyritykset, ohjelmistokehittäjät ja kuljetusyritykset.

Kyseisiin maihin kuuluvat Brasilia, Kiina, Ranska, Saksa, Italia, Meksiko, Portugali, Espanja, Yhdysvallat ja Yhdistynyt kuningaskunta.

Kiinan hakkerointiryhmä teki useita virheitä

Vakoilutyönsä aikana hakkerit tekivät useita virheitä ja jättivät sormenjäljet ​​taakse.

Esimerkiksi,

  • Oli joitain vuotaneet kieliasetuksia, jotka osoittivat, että hakkerit käyttivät selainta, jolla oli kiinalainen kieli.
  • Rekisteröimässä vuokrattua palvelinta hakkerit antoivat olemattoman Yhdysvaltain osoitteen, mutta kirjoittivat vahingossa Louisiana-valtion nimen kiinalaisin kirjaimin..
  • Yhdessä vaiheessa hakkerit käyttivät koodia, joka löytyi vain kiinalaiselta foorumilta.

Jonkin ajan kuluttua myös hollantilaiset turvallisuustutkijat alkoivat huomata, että hakkerit noudattivat tiukasti Kiinan toimistoaikoja.

Fox-IT: n tutkimuksen nimi “Operation Wocao” oli yksi hakkereiden suorittamista komennoista turhautuneessa yrityksessä päästä käsiksi poistettuihin verkkosivustoihin, kun Fox-IT peruutti digitaalisen murtautumisen.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map