Čínští hackeři několik dní před detekcí zakryjí své stopy a odstraní malware

Specialisté FireEye upozornil k podivnému chování čínských hackerů, SZO, ve snaze zakrýt své stopy, odstranit malware krátce před detekcí.

Podle výzkumníků, dvě hackerské skupiny používají zranitelnost nulového dne v Pulse Secure VPN k útoku na sítě amerických dodavatelů obrany a vládních organizací po celém světě.

Podle FireEye, hacky začaly v srpnu 2020, když první hack skupina, které společnost sleduje jako UNC2630, cílené americké dodavatele obrany a evropské organizace. Podle analytiků, tito hackeři “jedná jménem čínské vlády a může mít spojení s APT5,” to je další známá čínská skupina pro kybernetickou špionáž.

V říjnu 2020, k útokům se přidala druhá skupina hackerů (FireEye mu přidělil ID UNC2717), ale odborníci o tom prakticky nic nevěděli.

V obou případech, útočníci nainstalovali webové skořápky na zranitelná zařízení, a poté je použil k obětem’ interní sítě, odkud ukradli pověření, dopisy a důvěrné dokumenty.

Nyní v nová zpráva, FireEye píše, že další vyšetřování těchto útoků pomohlo objevit něco zvláštního: alespoň jedna ze skupin zapojených do incidentů začala tři dny před zveřejněním odstraňovat svůj malware z infikovaných sítí.

“Mezi dubnem 17 a 20, 2021, Specializovaní odborníci si všimli, že UNC2630 získal přístup k desítkám kompromitovaných zařízení a odstranil webové skořápky jako ATRIUM a SLIGHTPULSE”, - píší analytici.

Činy zločinců vypadají podezřele a vyvolávají otázky, například, kdyby útočníci mohli vědět o zájmu FireEye. Samozřejmě, odstranění malwaru mohlo být náhodou, ale pokud účastníci UNC2630 věděli, že FireEye vyšetřuje některé ze sítí, které prolomili, zdá se, že hackeři záměrně ustoupili a odstranili důkazy na ochranu dalších operací před výzkumníky.

FireEye také uvádí, že objevil nové podrobnosti o této hackerské kampani. Tak, odborníci našli další čtyři kmeny malwaru (navíc k 12 dříve popsáno).

• BLOODMINE - Nástroj pro analýzu souborů protokolu Pulse Secure Connect. Načte informace týkající se přihlášení, zveřejněte ID a webové požadavky a zkopírujte odpovídající data do jiného souboru.
• KREVNÍ BANKA - Nástroj pro krádež pověření, který v otevřeném testu analyzuje dva soubory obsahující hash hesel nebo hesla a očekává, že výstupní soubor bude uveden na příkazovém řádku.
• CLEANPULSE - je to nástroj pro opravu paměti, který lze použít k zabránění výskytu určitých událostí protokolu. Bylo nalezeno spolu s webovým shellem ATRIUM.
• RYCHLOST - Webový shell schopný číst libovolné soubory. Stejně jako ostatní webové skořápky, RAPIDPULSE je modifikace legitimního souboru Pulse Secure. Může sloužit jako zavaděč šifrovaných souborů.

Dále, FireEye nadále spolupracuje s vývojáři Pulse Secure na identifikaci ohrožených zařízení a jejich vlastníků. Tato práce umožnila analytikům dozvědět se více o cílech útočníků. Tak, podle nových údajů, většina obětí jsou organizace se sídlem ve Spojených státech (další se nacházejí v evropských zemích). Zatímco se dříve myslelo, že útoky byly zaměřeny na dodavatele obrany a vládní agentury, nyní je jasné, že útočníci se zaměřili také na telekomunikace, finanční a dopravní společnosti.

Zatímco dřívější analytici FireEye napsali, že spojení s čínskou vládou může mít pouze UNC2630, nyní věří, že obě skupiny se zabývají kybernetickou špionáží a “podporovat klíčové priority čínské vlády.”

Dovolte mi připomenout, že jsem to také napsal Malware XCSSET používá útoky 0 dní v systému macOS.