راه اندازی مجدد گروه هک چینی حملات جهانی | VPNoverview.com

یک شرکت امنیتی هلندی با نام Fox-IT امروز پس از تحقیقات آنها در مورد جاسوسی سایبر چین ، گزارشی را منتشر کرد. در دو سال گذشته ، به سیستمهای رایانه ای ده‌ها شرکت و مؤسسات دولتی در سراسر جهان مورد حمله قرار گرفته است. هلندی ها با اطمینان بالایی به این نتیجه رسیدند که یک گروه هک کننده چینی در پشت این حملات قرار دارد.


کمپین جاسوسی سایبر جهانی کشف شد

تحقیقات به نام “عملیات Wocao” (我 操 ، “Wǒ cāo” به زبان چینی ، عامیانه شعار “گه” یا “لعنت”) در مدت زمان تقریباً دو سال صورت گرفت. محققان امنیتی هلند می گویند همه شواهد موجود در یک گروه هکری سایه چینی به نام APT20 ، که احتمالاً به نفع دولت چین کار می کند.

Fox-IT در حالی که تجزیه و تحلیل سیستم های رایانه ای به خطر افتاده را برای یکی از مشتری های خود انجام می داد ، کمپین هک این گروه را در تابستان سال 2018 کشف کرد. آنها توانستند مسیر را دنبال کنند و ده ها حمله مشابه را که توسط همان گروه انجام شده بود کشف کردند.

هلندی ها در گزارشی توضیح می دهند که: “درباره بازیگری که توصیف می کنیم خیلی کم است که به طور علنی شناخته شده یا منتشر شده باشد ، اما به جای دادن این بازیگر نام مستعار خودمان ، ما تصمیم گرفتیم که به شرکای صنعت برسیم. این به ما کمک می کند تا برخی از تکنیک ها و ابزارهای منتشر نشده قبلی را در این گزارش با اطمینان متوسط ​​به یک بازیگر تهدید چینی معروف به APT20 نسبت دهیم. براساس قربانیان مشاهده شده این بازیگر ، ما همچنین ارزیابی می كنیم كه این بازیگر تهدید احتمالاً به نفع دولت چین است. “

هدف پول نیست بلکه دانش است

هکرها پول دزدی نمی کنند یا باج افزار نصب نمی کنند. آنها صرفاً به دنبال اطلاعات و دانش حساس در تجارت هستند ، چیزی که به ویژه دولت چین علاقه مند است.

دقیقاً چقدر داده مهاجمان در چند سال گذشته قادر به برداشت نیستند. آنچه مشهور است ، این است که بین سال های 2009 و 2014 ، APT20 (همچنین به عنوان ویولن پاندا و th3bug نیز شناخته می شود) با کمپین های هکری در ارتباط با دانشگاه ها ، ارتش ، سازمان های مراقبت های بهداشتی و شرکت های ارتباطی ارتباط داشته است..

به گفته Fox-IT ، گروه هکری چینی برای چندین سال از خواب نرفت. با این حال ، این اواخر دوباره ظاهر شده و بی سر و صدا در حال هدف قرار دادن شرکت ها و سازمان های دولتی است.

برخی از تکنیک های جدید استفاده شده است

این گزارش مروری بر تکنیک هایی است که محققان امنیتی هلندی از کاربردهای APT20 می دانند. نقطه اولیه دسترسی معمولاً یک سرور آسیب پذیر یا در حال حاضر به خطر افتاده است. پس از داخل شدن ، هکرها با استفاده از روشهای شناخته شده از طریق شبکه حرکت می کنند. سرانجام ، آنها می توانند از مدارک معتبر دزدیده شده برای دسترسی به شبکه قربانی از طریق VPN شرکتی استفاده کنند.

در یک مورد ، گروه هکرها حتی توانستند نوعی از تأیید هویت دو عاملی را برای جلوگیری از چنین حملاتی دور بزنند. برای این کار ، هکرها تکنیکی را برای بازیابی 2 کد فاکتور برای اتصال به سرور VPN این شرکت و به خود اجازه ورود به سیستم ایجاد کردند. سایر ابزارهای سفارشی نیز کشف شد.

در مرحله بعد ، هکرها از چندین ابزار پشتیبان و منبع باز برای نفوذ بیشتر به شبکه برای شناسایی دستی و جمع آوری اطلاعات استفاده کردند. پس از بارگیری داده ها ، همه موارد برای جلوگیری از تحقیقات پزشکی قانونی عمیق پاک شدند و درپشتی بسته شد.

قربانیان بی شماری در سراسر جهان

Fox-IT نمی خواهد نام قربانیان را ذکر کند. اما هلندی ها لیستی از بخش هایی را که APT20 در آن فعال هستند ، ارائه دادند.

در میان قربانیان می توان به شرکت های هواپیمایی ، شرکت های ساختمانی ، بخش انرژی ، مؤسسات مالی ، سازمان های مراقبت های بهداشتی ، شرکت های مهندسی دریایی ، توسعه دهندگان نرم افزار و شرکت های حمل و نقل اشاره کرد..

کشورهای تحت تأثیر شامل برزیل ، چین ، فرانسه ، آلمان ، ایتالیا ، مکزیک ، پرتغال ، اسپانیا ، ایالات متحده و انگلیس.

چندین اشتباه گروه هک کردن چینی ها ساخته است

در طی کار جاسوسی خود ، هکرها چندین اشتباه مرتکب شدند و “اثر انگشت” را پشت سر گذاشتند.

مثلا,

  • برخی از تنظیمات زبان نشتی وجود دارد ، که نشان می دهد هکرها با یک تنظیم زبان چینی مرورگر را اجرا می کنند.
  • هنگام ثبت سرور اجاره ای ، هکرها آدرس ایالات متحده غیر موجود را ارائه می دادند ، اما سهواً نام ایالت لوئیزیانا را با کاراکترهای چینی نوشت.
  • در یک مقطع ، هکرها از کدی استفاده می کردند که فقط در یک تالار چینی یافت می شد.

پس از مدتی ، محققان امنیتی هلند نیز متوجه شدند كه هكرها به طور دقیق ساعت های دفتر چینی را رعایت می كنند.

نام Fox-IT “Operation Wocao” ، یکی از دستوراتی بود که توسط تلاش هکرها در تلاش ناامیدکننده برای دسترسی به صفحات حذف شده ، توسط هکرها اجرا شد ، پس از آنکه Fox-IT برگشت دیجیتال را بازگرداند.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me