Китайска хакерска група възобновява глобалните атаки | VPNoverview.com

Холандска компания за сигурност, наречена Fox-IT, днес публикува доклад след разследването си на китайския кибер шпионаж. През последните две години бяха атакувани компютърните системи на десетки компании и държавни институции по целия свят. Холандците заключиха с висока степен на сигурност, че зад атаките стои китайска хакерска група.


Открита глобална кампания за кибер шпионаж

Разследването, наречено „Операция Wocao“ (我 操, „Wǒ cāo“ на китайски, сленг за „лайна“ или „дявол“), се проведе в продължение на почти две години. Холандски изследователи по сигурността твърдят, че всички доказателства сочат към сенчеста китайска хакерска група, наречена APT20, която вероятно работи в интерес на китайското правителство.

Фокс-ИТ откри хакерската кампания на групата през лятото на 2018 г., докато направи анализ на компрометирани компютърни системи за един от своите клиенти. Те успяха да последват следите и разкриха десетки подобни атаки, извършени от една и съща група.

В дълъг доклад холандците обясняват, че „Много малко се знае или публикува публично за актьора, който описваме, но вместо да дадем на този актьор псевдоним, избрахме да се свържем с партньорите в индустрията. Това ни помогна да приписваме някои от непубликуваните по-рано техники и инструменти в този доклад със средно доверие на китайски участник в заплахата, известен като APT20. Въз основа на наблюдаваните жертви на този актьор ние също така оценяваме, че този актьор със заплаха вероятно работи в интерес на китайското правителство. “

Целта не е пари, а знание

Хакерите не крадат пари и не инсталират откуп. Те чисто търсят чувствителна за бизнеса информация и знания, нещо, от което китайското правителство по-специално би се интересувало.

Точно колко данни нападателите са успели да съберат през последните няколко години, не могат да бъдат установени. Известно е, че между 2009 и 2014 г. APT20 (известен също като Violin Panda и th3bug) е свързан с хакерски кампании, насочени към университети, военни, здравни организации и телекомуникационни компании.

Според Fox-IT китайската хакерска група се спира в продължение на няколко години. Въпреки това тя наскоро се появи отново и тихо се насочва към компании и правителствени агенции.

Използвани някои нови техники

Докладът предоставя преглед на техниките, които холандските изследователи по сигурността знаят, че APT20 използва. Началната точка на достъп обикновено е уязвим или вече компрометиран уеб сървър. След като влязат вътре, хакерите се движат през мрежата, като използват добре познати методи. В крайна сметка те могат да използват откраднати идентификационни данни за достъп до мрежата на жертвата чрез корпоративна VPN.

В един случай хакерската група дори успя да заобиколи форма на двуфакторно удостоверяване, предназначена да предотврати подобни атаки. За целта хакерите разработиха техника за извличане на 2 фактор кодове за свързване към VPN сървъра на компанията и даване на разрешение за влизане. Открити бяха и други инструменти, изработени по поръчка.

На следващо място, хакерите използваха няколко инструмента за заден и отворен код, за да проникнат допълнително в мрежата, за да идентифицират ръчно и да събират информация. След изтеглянето на данните всички следи бяха изтрити, за да попречат на задълбоченото криминалистическо разследване, а задната врата беше затворена.

Многобройни жертви по целия свят

Fox-IT не иска да споменава имената на жертвите. Холандците обаче дадоха списък на секторите, в които APT20 са активни.

Сред жертвите са авиационни компании, строителни компании, енергийния сектор, финансови институции, здравни организации, офшорни инженерни компании, разработчици на софтуер и транспортни компании.

Засегнатите страни включват Бразилия, Китай, Франция, Германия, Италия, Мексико, Португалия, Испания, САЩ и Великобритания.

Няколко грешки, направени от китайската хакерска група

По време на шпионажната си дейност хакерите направиха няколко грешки, оставяйки след себе си „пръстови отпечатъци“.

Например,

  • Имаше някои настройки за изтичане на език, което показва, че хакерите работеха с браузър с настройка на китайски език.
  • Когато регистрираха нает сървър, хакерите предоставиха несъществуващ адрес в САЩ, но по невнимание написаха името на щата Луизиана с китайски букви.
  • В един момент хакерите използваха код, който можеше да бъде намерен само на китайски форум.

След известно време холандските изследователи по сигурността също започнаха да забелязват, че хакерите стриктно спазват китайското работно време.

Името на разследването на Fox-IT „Операция Wocao“ беше една от командите, изпълнени от хакерите в неудовлетворен опит за достъп до изтрити уеб сайтове, след като Fox-IT обърна цифровия пробив.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map