Grupul chinezesc de hacking relansează atacurile globale | VPNoverview.com

O companie olandeză de securitate, numită Fox-IT, a lansat astăzi un raport în urma investigațiilor lor cu privire la spionajul cibernetic chinez. În ultimii doi ani, sistemele informatice a zeci de companii și instituții guvernamentale din întreaga lume au fost atacate. Olandezul a concluzionat cu un grad ridicat de certitudine că un grup de hackeri chinezi este în spatele atacurilor.


Campania globală de spionaj cibernetic descoperită

Ancheta denumită „Operațiunea Wocao” (我 操, „Wǒ cāo” în chineză, argoul pentru „rahat” sau „al naibii”) a avut loc pe o durată de aproape doi ani. Cercetătorii din domeniul securității olandeze spun că toate punctele de probă ale unui grup de hackeri chinezesc umbrit numit APT20, care probabil funcționează în interesul guvernului chinez.

Fox-IT a descoperit campania de hacking a grupului în vara anului 2018, în timp ce a efectuat o analiză a sistemelor informatice compromise pentru unul dintre clienții săi. Aceștia au putut urmări urmele și au descoperit zeci de atacuri similare care au fost efectuate de același grup.

Într-un raport îndelungat, olandezii explică că „Este foarte puțin cunoscut sau publicat public despre actorul pe care îl descriem, dar în loc să oferim acestui actor un alias al nostru, am ales să adresăm partenerilor din industrie. Acest lucru ne-a ajutat să atribuim unele dintre tehnicile și instrumentele nepublicate anterior în acest raport, cu încredere medie, unui actor de amenințare chinez cunoscut sub numele de APT20. Pe baza victimelor observate ale acestui actor, evaluăm, de asemenea, că acest actor amenință poate lucra în interesul guvernului chinez. “

Scopul nu este banii, ci cunoașterea

Hackerii nu fură bani și nu instalează ransomware. Caută doar informații și cunoștințe sensibile la afaceri, lucru care ar fi interesat în special de guvernul chinez.

Nu pot fi identificate exact datele pe care atacatorii au reușit să le recolteze în ultimii ani. Ceea ce se știe, este că între 2009 și 2014, APT20 (cunoscut și sub numele de Violin Panda și th3bug) a fost asociat cu campanii de hacking care vizează universitățile, armata, organizațiile de sănătate și companiile de telecomunicații.

Potrivit Fox-IT, grupul chinez de hacking a rămas în stare latentă câțiva ani. Cu toate acestea, a reapărut recent și a vizat în mod liniștit companii și agenții guvernamentale.

Unele tehnici noi utilizate

Raportul oferă o imagine de ansamblu asupra tehnicilor pe care cercetătorii olandezi de securitate le cunosc APT20. Punctul inițial de acces este de obicei un webserver vulnerabil sau deja compromis. Odată ajunși în interior, hackerii se deplasează prin rețea folosind metode cunoscute. În cele din urmă, pot utiliza credențiale furate pentru a accesa rețeaua victimei prin intermediul VPN corporativ.

Într-un caz, grupul de hackeri a fost chiar capabil să eludeze o formă de autentificare cu doi factori destinată să prevină astfel de atacuri. Pentru a face acest lucru, hackerii au dezvoltat o tehnică pentru a prelua cele 2 coduri de factori pentru a se conecta la serverul VPN al companiei și a da permisiunea de a se conecta. Au fost descoperite și alte instrumente personalizate.

În continuare, hackerii au folosit mai multe instrumente de backdoor și open source pentru a se infiltra în continuare în rețea pentru a identifica și colecta manual informații. După descărcarea datelor, toate urmele au fost șterse pentru a împiedica o anchetă medico-legală aprofundată, iar partea din spate a fost închisă.

Numeroase victime de pe glob

Fox-IT nu vrea să menționeze numele victimelor. Dar olandezii au oferit o listă de sectoare în care sunt activi APT20.

Printre victime se numără companiile de aviație, companiile de construcții, sectorul energetic, instituțiile financiare, organizațiile de asistență medicală, companiile de inginerie off-shore, dezvoltatorii de software și companiile de transport..

Țările afectate includ Brazilia, China, Franța, Germania, Italia, Mexic, Portugalia, Spania, SUA și Marea Britanie.

Câteva greșeli făcute de grupul chinezesc de hacking

În timpul activității lor de spionaj, hackerii au făcut mai multe greșeli, lăsând în urmă „amprentele”.

De exemplu,

  • Au existat câteva setări de limbă scurse, care indică faptul că hackerii rulau un browser cu setare de limbă chineză.
  • La înregistrarea unui server închiriat, hackerii au furnizat o adresă americană inexistentă, dar din greșeală au scris numele statului Louisiana cu caractere chinezești.
  • La un moment dat, hackerii au folosit un cod care poate fi găsit doar pe un forum chinezesc.

După un timp, cercetătorii din domeniul securității olandeze au început, de asemenea, să observe că hackerii respectau cu strictețe orele de birou din China.

Numele anchetei Fox-IT „Operațiunea Wocao”, a fost una dintre comenzile executate de hackeri în încercarea frustrată de a accesa foile de internet șterse, după ce Fox-IT a inversat funcția digitală.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map