Китайская хакерская группа возобновляет глобальные атаки | VPNoverview.com

Голландская охранная компания Fox-IT сегодня опубликовала отчет о расследовании китайского кибершпионажа. За последние два года компьютерные системы десятков компаний и государственных учреждений во всем мире подверглись атакам. Голландцы с высокой степенью уверенности пришли к выводу, что за атаками стоит китайская хакерская группа.


Обнаружена глобальная кампания по кибершпионажу

Расследование под названием «Операция Wocao» (我 操, «Wǒ cāo» на китайском языке, сленг «дерьмо» или «черт») проходило в течение почти двух лет. Голландские исследователи в области безопасности говорят, что все доказательства указывают на скрытую китайскую хакерскую группу APT20, которая, вероятно, работает в интересах китайского правительства..

Fox-IT обнаружила хакерскую кампанию группы летом 2018 года, проводя анализ скомпрометированных компьютерных систем для одного из своих клиентов. Они смогли проследить за следом и раскрыли десятки подобных атак, совершенных одной и той же группой..

В длинном отчете голландцы объясняют, что «Очень мало публично известно или опубликовано об актере, которого мы описываем, но вместо того, чтобы дать этому актеру собственный псевдоним, мы решили обратиться к отраслевым партнерам. Это помогло нам со средней достоверностью приписать некоторые ранее неопубликованные методы и инструменты, приведенные в этом отчете, китайскому субъекту угроз, известному как APT20. На основании замеченных жертв этого актера мы также оцениваем, что этот субъект угрозы, вероятно, работает в интересах правительства Китая ».

Цель не деньги, а знания

Хакеры не крадут деньги и не устанавливают вымогателей. Они просто ищут конфиденциальную информацию и знания для бизнеса, то, что особенно заинтересовало бы китайское правительство..

Сколько именно данных злоумышленникам удалось собрать за последние несколько лет, установить невозможно. Что известно, так это то, что в период с 2009 по 2014 год APT20 (также известный как Viola Panda и th3bug) был связан с хакерскими кампаниями, нацеленными на университеты, военные, организации здравоохранения и телекоммуникационные компании..

Как сообщает Fox-IT, китайская хакерская группа несколько лет бездействовала. Тем не менее, он недавно всплыл и тихо нацелен на компании и правительственные учреждения..

Использованы некоторые новые методы

В отчете представлен обзор методов, которые известны голландским исследователям безопасности APT20. Начальной точкой доступа обычно является уязвимый или уже взломанный веб-сервер. Оказавшись внутри, хакеры перемещаются по сети, используя известные методы. В конце концов, они могут использовать украденные учетные данные для доступа к сети жертвы через корпоративный VPN.

В одном случае хакерская группа даже смогла обойти форму двухфакторной аутентификации, предназначенную для предотвращения таких атак. Для этого хакеры разработали методику получения двухфакторных кодов для подключения к VPN-серверу компании и предоставления разрешения на вход в систему. Также были обнаружены другие специальные инструменты..

Затем хакеры использовали несколько бэкдоров и инструментов с открытым исходным кодом для дальнейшего проникновения в сеть, чтобы вручную идентифицировать и собирать информацию. После загрузки данных все следы были стерты, чтобы помешать тщательному судебному расследованию, и черный ход был закрыт.

Многочисленные жертвы по всему миру

Fox-IT не хочет называть имена жертв. Но голландцы дали список секторов, в которых APT20 активны.

Среди жертв авиационные компании, строительные компании, энергетический сектор, финансовые учреждения, организации здравоохранения, оффшорные инженерные компании, разработчики программного обеспечения и транспортные компании..

Затрагиваемые страны: Бразилия, Китай, Франция, Германия, Италия, Мексика, Португалия, Испания, США и Великобритания..

Несколько ошибок китайской хакерской группы

Во время шпионской работы хакеры допустили несколько ошибок, оставив после себя «отпечатки пальцев».

Например,

  • Были некоторые утечки настроек языка, указывающие на то, что хакеры использовали браузер с настройкой китайского языка.
  • При регистрации арендованного сервера хакеры указали несуществующий адрес в США, но непреднамеренно написали название штата Луизиана китайскими иероглифами..
  • В какой-то момент хакеры использовали код, который можно найти только на китайском форуме.

Через некоторое время голландские исследователи безопасности также начали замечать, что хакеры строго придерживались китайских рабочих часов.

Название расследования Fox-IT «Операция Wocao» было одной из команд, выполненных хакерами в результате неудавшейся попытки получить доступ к удаленным веб-оболочкам после того, как Fox-IT отменила взлом цифрового.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map