Kinijos įsilaužimų grupė atnaujina visuotinius išpuolius | VPNoverview.com

Nyderlandų saugumo kompanija, pavadinta „Fox-IT“, šiandien paskelbė pranešimą po jų tyrimo dėl Kinijos kibernetinio šnipinėjimo. Per pastaruosius dvejus metus buvo užpultos dešimtys kompanijų ir vyriausybinių institucijų kompiuterinių sistemų visame pasaulyje. Olandai labai tiksliai padarė išvadą, kad užpuolimus slegia Kinijos įsilaužėlių grupė.


Aptikta pasaulinė internetinio šnipinėjimo kampanija

Tyrimas, pavadintas „Operacija Wocao“ (我 操, „Wǒ cao“ kinų kalba, šleifas „šūdas“ ar „prakeiktas“), vyko beveik dvejus metus. Nyderlandų saugumo tyrinėtojai sako, kad visi įrodymai rodo šešėlinę Kinijos įsilaužimo grupę, vadinamą APT20, kuri greičiausiai dirba Kinijos vyriausybės interesais.

„Fox-IT“ atrado grupės įsilaužimo kampaniją 2018 m. Vasarą, atlikdama kompromituotų kompiuterinių sistemų analizę vienam iš savo klientų. Jie sugebėjo sekti taką ir atidengė dešimtis panašių išpuolių, kuriuos įvykdė ta pati grupė.

Ilgame pranešime olandai paaiškina, kad „Apie mūsų apibūdinamą aktorių yra labai mažai žinoma ar skelbiama viešai, o užuot suteikę šiam aktoriui savo slapyvardį, nusprendėme susisiekti su pramonės partneriais. Tai padėjo mums priskirti kai kuriuos anksčiau šiame pranešime neskelbtus metodus ir įrankius, esant vidutiniam pasitikėjimui, Kinijos grėsmės veikėjui, žinomam kaip APT20. Remdamiesi stebėtomis šio veikėjo aukomis, mes taip pat įvertiname, kad šis grėsmės veikėjas greičiausiai dirba Kinijos vyriausybės interesais. “

Tikslas yra ne pinigai, o žinios

Piratai ne vagia pinigus ir neįdiegia išpirkos programų. Jie siekia tik verslo požiūriu neskelbtinos informacijos ir žinių, tuo ypač suinteresuotų Kinijos vyriausybė.

Neįmanoma tiksliai nustatyti, kiek duomenų užpuolikams pavyko surinkti per pastaruosius kelerius metus. Žinoma, kad nuo 2009 iki 2014 m. APT20 (dar žinomas kaip „Violin Panda“ ir „th3bug“) buvo susijęs su įsilaužimo kampanijomis, skirtomis universitetams, kariškiams, sveikatos priežiūros organizacijoms ir telekomunikacijų bendrovėms..

„Fox-IT“ duomenimis, Kinijos įsilaužimų grupė keletą metų neveikė. Tačiau jis neseniai atgijo ir tyliai buvo skirtas įmonėms ir vyriausybinėms agentūroms.

Kai kurie naudojami nauji metodai

Ataskaitoje pateikiama metodų, kuriuos žino Olandijos saugumo tyrinėtojai, APT20, apžvalga. Pradinis prieigos taškas paprastai yra pažeidžiamas arba jau pažeistas žiniatinklio serveris. Patekę į vidų, įsilaužėliai juda per tinklą naudodami žinomus metodus. Galiausiai jie gali panaudoti pavogtus kredencialus, kad pasiektų aukos tinklą per įmonės VPN.

Vienu atveju įsilaužėlių grupė netgi sugebėjo apeiti dviejų veiksnių autentifikavimo formą, skirtą užkirsti kelią tokiems išpuoliams. Norėdami tai padaryti, įsilaužėliai sukūrė metodą, kaip nuskaityti 2 faktorių kodus, kad būtų galima prisijungti prie įmonės VPN serverio ir duoti sau leidimą prisijungti. Taip pat buvo aptiktos ir kitos pagal užsakymą pagamintos priemonės..

Toliau įsilaužėliai naudojo keletą galinių durų ir atvirojo kodo įrankių, kad galėtų toliau įsiskverbti į tinklą, rankiniu būdu identifikuodami ir rinkdami informaciją. Atsisiuntę duomenis, visi pėdsakai buvo nušluoti, kad trukdytų atlikti išsamų teismo ekspertizę, o užpakalinis durys buvo uždarytas.

Daugybė aukų visame pasaulyje

„Fox-IT“ nenori minėti aukų vardų. Tačiau olandai pateikė sektorių, kuriuose veikia APT20, sąrašą.

Tarp aukų yra aviacijos įmonės, statybų bendrovės, energetikos sektorius, finansų įstaigos, sveikatos priežiūros organizacijos, jūros inžinerijos įmonės, programinės įrangos kūrėjai ir transporto įmonės.

Tarp paveiktų šalių buvo Brazilija, Kinija, Prancūzija, Vokietija, Italija, Meksika, Portugalija, Ispanija, JAV ir JK.

Keli klaidos padarė Kinijos įsilaužimų grupę

Vykdydami šnipinėjimą įsilaužėliai padarė keletą klaidų, palikdami „pirštų atspaudus“.

Pavyzdžiui,

  • Buvo keletas nutekėjusių kalbos nustatymų, kurie rodo, kad įsilaužėliai vykdo naršyklę su kinų kalbos nustatymais.
  • Registruodami nuomojamą serverį, įsilaužėliai pateikė neegzistuojantį JAV adresą, tačiau netyčia kinų rašmenimis užrašė Luizianos valstijos pavadinimą..
  • Vienu metu įsilaužėliai panaudojo kodą, kurį buvo galima rasti tik Kinijos forume.

Po kurio laiko Nyderlandų saugumo tyrinėtojai taip pat pradėjo pastebėti, kad įsilaužėliai griežtai laikosi Kinijos darbo valandų.

„Fox-IT“ tyrimo pavadinimas „Operacija„ Wocao ““ buvo viena iš komandų, kurias įsilaužėliai įvykdė nusivylę bandydami pasiekti ištrintus žiniatinklio lukštus, po to, kai „Fox-IT“ pakeitė skaitmeninį įsilaužimą.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me