ჩინურ ჰაკინგ ჯგუფმა გლობალური შეტევები დაიწყო | VPNoverview.com

ჰოლანდიურმა უსაფრთხოების კომპანიამ, სახელწოდებით Fox-IT, დღეს გამოაქვეყნა მოხსენება ჩინურ კიბერ ჯაშუშობაში გამოძიების გამოძიების შემდეგ. ბოლო ორი წლის განმავლობაში, მსოფლიოში ათობით კომპანიის და სამთავრობო ინსტიტუტის კომპიუტერული სისტემები თავს დაესხნენ. ჰოლანდიელებმა მაღალი ხარისხის დარწმუნებით დაასკვნეს, რომ თავდასხმების უკან დგას ჩინელი ჰაკერების ჯგუფი.


აღმოაჩინეს კიბერ ჯაშუშობის გლობალური კამპანია

გამოძიებამ დაასახელა ”ოპერაცია ვოკაო” (我 操, ”Wǒ cāo” ჩინურად, ჟარგონით ”ყიჟინა” ან ”ლანძღვა”) თითქმის ორი წლის განმავლობაში. ჰოლანდიის უსაფრთხოების მკვლევარებმა თქვეს, რომ ყველა მტკიცებულება აჩრდილულ ჩინურ ჰაკერების ჯგუფში, სახელწოდებით APT20, რომელიც სავარაუდოდ მუშაობს ჩინეთის მთავრობის ინტერესებში..

Fox-IT- მა ჯგუფის ჰაკერების კამპანია აღმოაჩინა 2018 წლის ზაფხულში, ხოლო კომპრომეტირებული კომპიუტერული სისტემების ანალიზს ახორციელებდა მისი ერთ – ერთი კლიენტისთვის. მათ შეძლეს მიჰყევით ბილიკს და გაირკვეს ათეულობით მსგავსი შეტევა, რომლებიც იმავე ჯგუფის მიერ განხორციელდა.

ხანგრძლივ მოხსენებაში, ჰოლანდიელი განმარტავს, რომ ”მსახიობის შესახებ ძალიან ცოტა რამ არის ცნობილი ან გამოქვეყნებული, რომელსაც ჩვენ აღწერენ, მაგრამ იმის მაგივრად, რომ ამ მსახიობს საკუთარი თავის სახელი მივაწოდოთ, ჩვენ არჩია, რომ მივსულიყავით ინდუსტრიის პარტნიორებთან. ამაში დაგვეხმარა, რომ წინამდებარე მოხსენებაში გამოქვეყნებული ადრე გამოქვეყნებული ზოგიერთი ტექნიკა და ინსტრუმენტი, საშუალო ნდობით, მიეწოდებინა ჩინეთის საფრთხის შემსრულებელს, რომელიც ცნობილია როგორც APT20. ამ მსახიობის დაკვირვებული მსხვერპლის საფუძველზე ჩვენ ასევე ვაფასებთ, რომ ეს საფრთხე მსახიობი სავარაუდოდ მუშაობს ჩინეთის მთავრობის ინტერესებში. ”

მიზანი არ არის ფული, არამედ ცოდნა

ჰაკერები არ იპარავდნენ ფულს ან არ ამონტაჟებენ გამოსასყიდი პროგრამას. ისინი უბრალოდ ეძებენ ბიზნესზე მგრძნობიარე ინფორმაციას და ცოდნას, რაც განსაკუთრებით სურს ჩინეთის მთავრობას.

ზუსტად რამდენი მონაცემი აქვთ თავდამსხმელთა მოსავალს ბოლო რამდენიმე წლის განმავლობაში, არ შეიძლება დადგინდეს. რაც ცნობილია არის ის, რომ 2009 და 2014 წლებში APT20 (ასევე ცნობილია როგორც ვიოლინო პანდა და th3bug) ასოცირებული იყო ჰაკერების კამპანიებთან, რომლებიც მიზნად ისახავს უნივერსიტეტებს, სამხედროებს, ჯანდაცვის ორგანიზაციებსა და სატელეკომუნიკაციო კომპანიებს..

Fox-IT- ის თანახმად, ჩინური ჰაკერების ჯგუფი რამდენიმე წლის განმავლობაში არ დაიძაბა. ამასთან, იგი ახლახან განახლდა და ჩუმად მიისწრაფვის კომპანიებსა და სამთავრობო უწყებებზე.

გამოყენებულია რომანის ზოგიერთი ტექნიკა

ანგარიში მოცემულია იმ ტექნიკის შესახებ, რომელსაც ჰოლანდიის უსაფრთხოების მკვლევარებმა იციან, რომ APT20 იყენებს. წვდომის საწყისი წერტილი, როგორც წესი, არის დაუცველი ან უკვე დათმობილი ვებგვერდი. შიგნით მოხვედრის შემდეგ, ჰაკერები ქსელში გადადიან ცნობილი მეთოდების გამოყენებით. საბოლოოდ, მათ შეუძლიათ გამოიყენონ მოპარული სერთიფიკატები, რომ დაზარალებულის ქსელში შესულიყონ კორპორატიული VPN.

ერთ შემთხვევაში, ჰაკერულ ჯგუფს შეეძლო ორი ფაქტორიანი ავთენტიფიკაციის ისეთი ფორმის გადალახვა, რომელიც მიზნად ისახავდა ამგვარი თავდასხმების თავიდან ასაცილებლად. ამისათვის, ჰაკერებმა შეიმუშავეს ტექნიკა, რომ გადაეღოთ 2 ფაქტორი კოდი კომპანიის VPN სერვერზე დასაკავშირებლად და საკუთარი თავის შესვლის ნებართვისთვის. ასევე აღმოჩენილი იქნა საკუთარი ხელნაკეთობების სხვა ინსტრუმენტები.

შემდეგ, ჰაკერებმა გამოიყენეს რამდენიმე უკანა და ღია კოდის იარაღები, რომლებმაც ქსელში შემოვლითი გზით მოახდინეს ინფორმაციის ხელით ამოცნობა და შეგროვება. მონაცემების ჩამოტვირთვის შემდეგ, ყველა კვალი წაშლილი იყო, რათა ხელი შეეშალათ სიღრმისეულ ექსპერტიზის ჩატარებას, ხოლო უკანა კარი დაიხურა.

უამრავი მსხვერპლი მთელს მსოფლიოში

Fox-IT არ სურს დაზარალებულთა სახელების ხსენება. მაგრამ ჰოლანდიელებმა არ მისცეს იმ სექტორების სია, სადაც APT20 აქტიურია.

დაზარალებულთა შორისაა საავიაციო კომპანიები, სამშენებლო კომპანიები, ენერგეტიკის სექტორი, ფინანსური ინსტიტუტები, ჯანდაცვის ორგანიზაციები, ოფშორული საინჟინრო კომპანიები, პროგრამული უზრუნველყოფის შემქმნელები და სატრანსპორტო კომპანიები..

დაზარალებულ ქვეყნებში შედის ბრაზილია, ჩინეთი, საფრანგეთი, გერმანია, იტალია, მექსიკა, პორტუგალია, ესპანეთი, აშშ და დიდი ბრიტანეთი.

რამდენიმე შეცდომა დაუშვა ჩინურ ჰაკინგთა ჯგუფმა

ჯაშუშური მუშაობის დროს ჰაკერებმა დაუშვეს შეცდომები, რის შედეგადაც დატოვეს „თითის ანაბეჭდები“.

Მაგალითად,

  • გაჟონა ენის გარკვეული პარამეტრები, რაც იმაზე მეტყველებს, რომ ჰაკერები აწარმოებდნენ ბრაუზერს ჩინური ენის პარამეტრით.
  • ნაქირავებ სერვერზე დარეგისტრირების დროს, ჰაკერებმა უზრუნველყვეს აშშ-ს არარსებული მისამართი, მაგრამ უნებურად ჩაწერეს ლუიზიანის შტატის სახელი ჩინურ სიმბოლოებში.
  • ერთ მომენტში ჰაკერებმა გამოიყენეს კოდი, რომლის ნახვა მხოლოდ ჩინურ ფორუმზე შეიძლება.

გარკვეული პერიოდის შემდეგ, ჰოლანდიის უსაფრთხოების მკვლევარებმა ასევე შეამჩნიეს, რომ ჰაკერები მკაცრად იცავდნენ ჩინურ ოფისის საათებს.

Fox-IT- ს გამოძიების სახელწოდება “ოპერაცია ვოკაო”, იყო ჰარკერების მიერ შესრულებული ერთ-ერთი ბრძანება წაშლილი ბლანკებით წვდომის იმედგაცრუებული მცდელობით, მას შემდეგ, რაც Fox-IT- მა შეცვალა ციფრული შესვენება.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me