Кинеска хакерска група поново покренула глобалне нападе | ВПНовервиев.цом

Холандска компанија за обезбеђење, под називом Фок-ИТ, објавила је данас извештај после истраге кинеске сајбер шпијунаже. У последње две године нападнути су рачунарски системи десетака компанија и владиних институција широм света. Холанђани су са високим степеном сигурности закључили да иза напада стоји кинеска хакерска група.


Откривена глобална кампања за цибер шпијунажу

Истрага под називом „Операција Воцао“ (我 操, „Во цао“ на кинеском, сленг за „срање“ или „проклетство“) одвијала се током више од две године. Холандски истраживачи за сигурност кажу да сви докази указују на сјеновиту кинеску хакерску групу звану АПТ20, која вјероватно дјелује у интересу кинеске владе.

Фок-ИТ је открио хакерску кампању групе током лета 2018. године, радећи анализу компромитованих рачунарских система за једног од својих клијената. Они су могли да прате траг и открили су на десетине сличних напада које је извела иста група.

У дужем извештају, Холанђани објашњавају да је „врло мало познато или објављено о глумцу којег описујемо, али уместо да овом глумцу пружимо свој псеудоним, изабрали смо да се обратимо партнерима у индустрији. То нам је помогло да са неким средњим поуздањем припишемо неке од раније необјављених техника и алата у овом извештају кинеском актеру претње познатом као АПТ20. На основу посматраних жртава овог актера такође оцењујемо да овај актер претње вероватно делује у интересу кинеске владе. “

Циљ није новац, већ знање

Хакери не краду новац и не инсталирају рансомваре. Они су у потрази за пословно осетљивим информацијама и знањем, нешто што би посебно занимало кинеску владу.

Тачно колико података су нападачи успели да прикупе у последњих неколико година, не могу се утврдити. Оно што се зна, јесте да је између 2009. И 2014. АПТ20 (познат и као Виолин Панда и тх3буг) повезан је са хакерским кампањама намењеним универзитетима, војсци, здравственим организацијама и телекомуникационим компанијама.

Према Фок-ИТ-у, кинеска хакерска група је била у стању мировања неколико година. Међутим, недавно се појавила и тихо циља на компаније и владине агенције.

Неке нове технике коришћења

Извештај пружа преглед техника за које холандски истраживачи безбедности знају да АПТ20 користи. Почетна тачка приступа је обично рањив или већ угрожен веб сервер. Једном унутра, хакери се крећу кроз мрежу добро познатим методама. На крају, могу да користе украдене акредитиве за приступ мрежи жртве преко корпоративног ВПН-а.

У једном случају, хакерска група је чак могла заобићи облик двофакторне аутентификације који је имао за циљ да спречи такве нападе. Да би то учинили, хакери су развили технику за преузимање 2 факторска кода за повезивање са ВПН сервером компаније и себи дали дозволу за пријаву. Откривени су и други прилагођени алати.

Затим су хакери искористили неколико алата за бацкдоор и опен соурце да би се инфилтрирали даље у мрежу како би ручно идентифицирали и прикупили информације. Након преузимања података сви су трагови обрисани да би се омело дубинско форензичко истраживање и позадина је затворена.

Многобројне жртве широм света

Фок-ИТ не жели да помиње имена жртава. Али, Холанђани су дали списак сектора у којима АПТ20 делује.

Међу жртвама су авиокомпаније, грађевинске компаније, енергетски сектор, финансијске институције, здравствене организације, оффсхоре инжењерске компаније, програмери софтвера и транспортне компаније.

Земље које су погођене укључују Бразил, Кину, Француску, Немачку, Италију, Мексико, Португал, Шпанију, САД и Велику Британију.

Кинеска хакерска група направила је неколико грешака

Током свог шпијунског рада, хакери су направили неколико грешака, остављајући за собом „отиске прстију“.

На пример,

  • Било је неких подешавања језика који су процурили, што значи да су хакери радили у прегледачу са поставком кинеског језика.
  • Приликом регистровања изнајмљеног сервера, хакери су пружили непостојећу америчку адресу, али су ненамјерно написали име државе Лоуисиана на кинеским словима.
  • У једном тренутку хакери су користили код који се могао наћи само на кинеском форуму.

Након неког времена, холандски истраживачи безбедности такође су почели да примећују да су се хакери строго придржавали кинеског радног времена.

Име истраге Фок-ИТ „Операција Воцао“, била је једна од наредби које су хакери извршили у фрустрираном покушају приступа избрисаним веб таблицама, након што је Фок-ИТ преокренуо дигитални пробој.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me