Η κινεζική ομάδα εισβολής εισάγει παγκόσμιες επιθέσεις | VPNoverview.com

Μια ολλανδική εταιρεία ασφαλείας, που ονομάζεται Fox-IT, δημοσίευσε σήμερα μια έκθεση μετά την έρευνά τους για την κινεζική κατασκοπεία στον κυβερνοχώρο. Τα τελευταία δύο χρόνια, τα συστήματα υπολογιστών δεκάδων εταιρειών και κυβερνητικών οργανισμών σε όλο τον κόσμο δέχτηκαν επίθεση. Οι Ολλανδοί κατέληξαν με μεγάλη βεβαιότητα ότι μια κινεζική ομάδα πειρατείας βρίσκεται πίσω από τις επιθέσεις.


Ανακαλύφθηκε η παγκόσμια εκστρατεία κατασκοπείας στον κυβερνοχώρο

Η έρευνα με την ονομασία «Επιχείρηση Wocao» (我 操, «Wā cāo» στα κινέζικα, αργκό για «σκατά» ή «βλασφημία») πραγματοποιήθηκε σε διάστημα σχεδόν δύο ετών. Ολλανδοί ερευνητές ασφαλείας λένε ότι όλα τα στοιχεία δείχνουν μια σκιερή κινεζική ομάδα πειρατείας που ονομάζεται APT20, η οποία πιθανότατα λειτουργεί προς το συμφέρον της κινεζικής κυβέρνησης.

Η Fox-IT ανακάλυψε την καμπάνια hacking της ομάδας το καλοκαίρι του 2018, ενώ πραγματοποίησε μια ανάλυση των παραβιασμένων συστημάτων υπολογιστών για έναν από τους πελάτες της. Κατάφεραν να ακολουθήσουν το μονοπάτι και αποκάλυψαν δεκάδες παρόμοιες επιθέσεις που είχαν πραγματοποιηθεί από την ίδια ομάδα.

Σε μια μακροχρόνια έκθεση, οι Ολλανδοί εξηγούν ότι «Πολύ λίγα είναι γνωστά ή δημοσιεύονται δημοσίως για τον ηθοποιό που περιγράφουμε, αλλά αντί να δώσουμε σε αυτόν τον ηθοποιό ένα δικό μας ψευδώνυμο, επιλέξαμε να επικοινωνήσουμε με συνεργάτες του κλάδου. Αυτό μας βοήθησε να αποδώσουμε μερικές από τις προηγουμένως μη δημοσιευμένες τεχνικές και εργαλεία σε αυτήν την αναφορά, με μεσαία εμπιστοσύνη, σε έναν κινέζικο ηθοποιό απειλής γνωστό ως APT20. Με βάση τα παρατηρούμενα θύματα αυτού του ηθοποιού εκτιμούμε επίσης ότι αυτός ο απειλητικός ηθοποιός λειτουργεί πιθανώς προς το συμφέρον της κινεζικής κυβέρνησης ».

Ο στόχος δεν είναι χρήματα, αλλά γνώση

Οι χάκερ δεν κλέβουν χρήματα ούτε εγκαθιστούν ransomware. Ψάχνουν καθαρά για επιχειρηματικές πληροφορίες και γνώσεις, κάτι που η κινεζική κυβέρνηση θα ενδιαφερόταν ιδιαίτερα.

Ακριβώς πόσα δεδομένα κατάφεραν να συλλέξουν οι επιτιθέμενοι τα τελευταία χρόνια δεν μπορούν να εξακριβωθούν. Αυτό που είναι γνωστό είναι ότι μεταξύ του 2009 και του 2014, το APT20 (επίσης γνωστό ως Violin Panda και th3bug) έχει συσχετιστεί με εκστρατείες πειρατείας που στοχεύουν πανεπιστήμια, στρατιωτικούς, οργανισμούς υγειονομικής περίθαλψης και εταιρείες τηλεπικοινωνιών.

Σύμφωνα με το Fox-IT, η κινεζική ομάδα πειρατείας παρέμεινε αδρανής για αρκετά χρόνια. Ωστόσο, πρόσφατα επανεμφανίστηκε και ησυχία στοχεύει εταιρείες και κυβερνητικούς φορείς.

Χρησιμοποιούνται μερικές νέες τεχνικές

Η έκθεση παρέχει μια επισκόπηση των τεχνικών που γνωρίζουν οι Ολλανδοί ερευνητές ασφαλείας APT20. Το αρχικό σημείο πρόσβασης είναι συνήθως ένας ευάλωτος ή ήδη παραβιασμένος διακομιστής ιστού. Μόλις μπουν μέσα, οι χάκερ μετακινούνται μέσω του δικτύου χρησιμοποιώντας γνωστές μεθόδους. Τελικά, μπορούν να χρησιμοποιήσουν κλεμμένα διαπιστευτήρια για πρόσβαση στο δίκτυο του θύματος μέσω εταιρικού VPN.

Σε μία περίπτωση, η ομάδα χάκερ μπόρεσε ακόμη και να παρακάμψει μια μορφή ελέγχου ταυτότητας δύο παραγόντων με σκοπό την αποτροπή τέτοιων επιθέσεων. Για να το κάνουν αυτό, οι χάκερ ανέπτυξαν μια τεχνική για να ανακτήσουν τους κωδικούς 2 παραγόντων για να συνδεθούν με τον διακομιστή VPN της εταιρείας και να επιτρέψουν στον εαυτό τους να συνδεθούν. Ανακαλύφθηκαν επίσης και άλλα ειδικά κατασκευασμένα εργαλεία.

Στη συνέχεια, οι χάκερς χρησιμοποίησαν πολλά εργαλεία backdoor και open source για να διεισδύσουν περαιτέρω στο δίκτυο για να εντοπίσουν και να συλλέξουν πληροφορίες με μη αυτόματο τρόπο. Μετά τη λήψη των δεδομένων, όλα τα ίχνη σκουπίστηκαν για να εμποδίσουν μια σε βάθος ιατροδικαστική έρευνα και η πίσω πόρτα έκλεισε.

Πολλά θύματα σε ολόκληρο τον κόσμο

Η Fox-IT δεν θέλει να αναφέρει τα ονόματα των θυμάτων. Όμως οι Ολλανδοί έδωσαν μια λίστα με τομείς στους οποίους δραστηριοποιείται το APT20.

Μεταξύ των θυμάτων είναι αεροπορικές εταιρείες, κατασκευαστικές εταιρείες, ενεργειακός τομέας, χρηματοπιστωτικά ιδρύματα, οργανισμοί υγειονομικής περίθαλψης, υπεράκτιες μηχανικές εταιρείες, προγραμματιστές λογισμικού και εταιρείες μεταφορών.

Οι χώρες που επλήγησαν περιλαμβάνουν τη Βραζιλία, την Κίνα, τη Γαλλία, τη Γερμανία, την Ιταλία, το Μεξικό, την Πορτογαλία, την Ισπανία, τις ΗΠΑ και το Ηνωμένο Βασίλειο.

Αρκετά λάθη που έκανε η κινεζική ομάδα πειρατείας

Κατά τη διάρκεια της κατασκοπείας τους, οι χάκερς έκαναν πολλά λάθη, αφήνοντας πίσω τους «δακτυλικά αποτυπώματα».

Για παράδειγμα,

  • Υπήρξαν ορισμένες διαρρυθμισμένες ρυθμίσεις γλώσσας, που υποδηλώνουν ότι οι χάκερ εκτελούσαν ένα πρόγραμμα περιήγησης με ρύθμιση κινεζικής γλώσσας.
  • Κατά την εγγραφή ενός ενοικιαζόμενου διακομιστή, οι χάκερ παρείχαν μια ανύπαρκτη διεύθυνση στις ΗΠΑ, αλλά κατά λάθος έγραψαν το όνομα της πολιτείας της Λουιζιάνας σε κινέζικους χαρακτήρες.
  • Σε ένα σημείο, οι χάκερ χρησιμοποίησαν έναν κωδικό που μπορούσε να βρεθεί μόνο σε ένα κινεζικό φόρουμ.

Μετά από λίγο, οι ολλανδοί ερευνητές ασφαλείας άρχισαν επίσης να παρατηρούν ότι οι χάκερ τηρούσαν αυστηρά τις κινεζικές ώρες γραφείου.

Το όνομα της έρευνας της Fox-IT “Operation Wocao”, ήταν μία από τις εντολές που εκτελέστηκαν από τους χάκερ σε μια απογοητευμένη προσπάθεια πρόσβασης σε διαγραμμένα webshells, αφού η Fox-IT ανέστρεψε το ψηφιακό break-in.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map