Čínská hackerská skupina obnovuje globální útoky VPNoverview.com

Nizozemská bezpečnostní společnost s názvem Fox-IT dnes zveřejnila zprávu po svém vyšetřování čínské počítačové špionáže. V posledních dvou letech byly napadeny počítačové systémy desítek společností a vládních institucí po celém světě. Holanďan s vysokou mírou jistoty dospěl k závěru, že za útoky stojí čínská hackerská skupina.


Objevena globální kybernetická špionážní kampaň

Šetření s názvem „Operace Wocao“ (我 操, „Wǒ cāo“ v čínštině, slang pro „hovno“ nebo „zatraceně“) proběhlo po dobu téměř dvou let. Nizozemští vědci tvrdí, že všechny důkazy ukazují na temnou čínskou hackerskou skupinu s názvem APT20, která pravděpodobně pracuje v zájmu čínské vlády.

Společnost Fox-IT objevila v létě roku 2018 hackerskou kampaň skupiny a provedla analýzu kompromitovaných počítačových systémů pro jednoho ze svých klientů. Dokázali sledovat stopu a odhalili desítky podobných útoků, které provedla stejná skupina.

Ve zdlouhavé zprávě Holanďané vysvětlují, že „Velmi málo je veřejně známo nebo publikováno o herci, kterého popisujeme, ale místo toho, abychom tomuto herci udělali alias vlastní, jsme se rozhodli oslovit průmyslové partnery. To nám pomohlo připsat některé dříve nezveřejněné techniky a nástroje v této zprávě se střední důvěrou čínskému herci v oblasti hrozeb známému jako APT20. Na základě pozorovaných obětí tohoto herce také zjišťujeme, že tento aktér hrozby pravděpodobně pracuje v zájmu čínské vlády. “

Cílem nejsou peníze, ale znalosti

Hackeři neukradnou peníze ani nenainstalují ransomware. Hledají čistě obchodní informace a znalosti, což by čínská vláda zvláště zajímala.

Přesně, kolik dat útočníci dokázali získat v posledních několika letech, nelze zjistit. Je známo, že mezi lety 2009 a 2014 byl APT20 (známý také jako housle Panda a th3bug) spojován s hackerskými kampaněmi zaměřenými na univerzity, vojenské, zdravotnické organizace a telekomunikační společnosti..

Podle společnosti Fox-IT čínská hackerská skupina několik let spala. Nedávno se však znovu objevila a tiše se zaměřuje na společnosti a vládní agentury.

Některé nové použité techniky

Zpráva poskytuje přehled technik, které nizozemští vědci v oblasti bezpečnosti znají APT20. Počáteční přístupový bod je obvykle zranitelný nebo již ohrožený webový server. Jakmile jsou uvnitř, hackeři se pohybují po síti pomocí známých metod. Nakonec mohou odcizená přihlašovací údaje použít k přístupu k síti oběti prostřednictvím podnikové VPN.

V jednom případě hackerská skupina dokázala obejít i formu dvoufaktorové autentizace, která měla těmto útokům zabránit. Hackeři za tímto účelem vyvinuli techniku ​​načtení dvoufaktorových kódů pro připojení k firemnímu VPN serveru a udělení oprávnění k přihlášení. Byly také objeveny další nástroje na míru.

Dále hackeři použili několik nástrojů pro backdoor a open source k dalšímu proniknutí do sítě k ruční identifikaci a shromažďování informací. Po stažení dat byly všechny stopy vymazány, aby bránily hloubkovému forenznímu vyšetřování, a zadní dveře byly uzavřeny.

Četné oběti po celém světě

Fox-IT nechce zmínit jména obětí. Nizozemci však uvedli seznam odvětví, ve kterých jsou APT20 aktivní.

Mezi oběti patří letecké společnosti, stavební společnosti, energetika, finanční instituce, zdravotnické organizace, offshore strojírenské společnosti, vývojáři softwaru a dopravní společnosti.

Mezi dotčené země patřily Brazílie, Čína, Francie, Německo, Itálie, Mexiko, Portugalsko, Španělsko, USA a Velká Británie.

Vyrobeno několik chyb čínské hackerské skupiny

Během své špionážní práce hackeři udělali několik chyb a zanechali „otisky prstů“.

Například,

  • Existovala určitá nastavení jazyka, která naznačovala, že hackeři provozovali prohlížeč s nastavením čínského jazyka.
  • Při registraci pronajatého serveru hackeři poskytli neexistující americkou adresu, ale neúmyslně napsali jméno státu Louisiana čínskými znaky..
  • V jednom okamžiku hackeři použili kód, který lze najít pouze na čínském fóru.

Po chvíli si nizozemští výzkumní pracovníci v oblasti bezpečnosti také všimli, že hackeři přísně dodržovali čínské pracovní hodiny.

Název vyšetřování Fox-IT „Operation Wocao“ byl jedním z příkazů provedených hackery v frustrovaném pokusu o přístup k smazaným webovým schránkám poté, co Fox-IT obrátil digitální vloupání.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map