Κινέζοι χάκερ καλύπτουν τα ίχνη τους και αφαιρούν κακόβουλο λογισμικό λίγες μέρες πριν τον εντοπισμό
Ειδικοί του FireEye τραβηξε την ΠΡΟΣΟΧΗ στην παράξενη συμπεριφορά των Κινέζων χάκερ, οι οποίοι, σε μια προσπάθεια να καλύψουν τα ίχνη τους, αφαιρέστε κακόβουλο λογισμικό λίγο πριν τον εντοπισμό.
Σύμφωνα με τους ερευνητές, δύο ομάδες hack χρησιμοποιούν μια ευπάθεια μηδενικής ημέρας στο Pulse Secure VPN για να επιτεθούν στα δίκτυα Αμερικανών εργολάβων άμυνας και κυβερνητικών οργανισμών σε όλο τον κόσμο.
Σύμφωνα με την FireEye, τα hacks ξεκίνησαν τον Αύγουστο 2020, όταν η πρώτη ομάδα hack, που η εταιρεία παρακολουθεί ως UNC2630, στοχεύουν εργολάβους άμυνας των ΗΠΑ και ευρωπαϊκούς οργανισμούς. Σύμφωνα με αναλυτές, αυτοί οι χάκερ “ενεργεί εξ ονόματος της κινεζικής κυβέρνησης και μπορεί να έχει συνδέσεις με το APT5,” αυτή είναι μια άλλη γνωστή κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο.
Τον Οκτώβρη 2020, μια δεύτερη ομάδα χάκερ συμμετείχε στις επιθέσεις (Η FireEye του έδωσε το αναγνωριστικό UNC2717), αλλά οι ειδικοί δεν ήξεραν σχεδόν τίποτα γι 'αυτό.
Και στις δύο περιπτώσεις, οι εισβολείς εγκατέστησαν κελύφη ιστού σε ευάλωτες συσκευές, και στη συνέχεια τα χρησιμοποίησε για να πάει στα θύματα’ εσωτερικά δίκτυα, από όπου έκλεψαν διαπιστευτήρια, επιστολές και εμπιστευτικά έγγραφα.
Τώρα σε ένα νέα έκθεση, Ο FireEye γράφει ότι η περαιτέρω διερεύνηση αυτών των επιθέσεων βοήθησε να ανακαλυφθεί κάτι περίεργο: τουλάχιστον μία από τις ομάδες που εμπλέκονται στα περιστατικά άρχισε να αφαιρεί το κακόβουλο λογισμικό τους από μολυσμένα δίκτυα τρεις ημέρες πριν από την αποκάλυψη.
“Μεταξύ Απριλίου 17 και 20, 2021, Εξειδικευμένοι ειδικοί παρατήρησαν ότι το UNC2630 απέκτησε πρόσβαση σε δεκάδες παραβιασμένες συσκευές και αφαίρεσε κελύφη ιστού όπως το ATRIUM και το SLIGHTPULSE”, - γράφουν οι αναλυτές.
Οι ενέργειες των εγκληματιών στον κυβερνοχώρο φαίνονται ύποπτες και εγείρουν ερωτήσεις, για παράδειγμα, αν οι επιτιθέμενοι μπορούσαν να γνωρίζουν για το ενδιαφέρον της FireEye. Φυσικά, η κατάργηση του κακόβουλου λογισμικού θα μπορούσε να ήταν σύμπτωση, αλλά αν οι συμμετέχοντες στο UNC2630 ήξεραν ότι το FireEye ερευνούσε ορισμένα από τα δίκτυα που είχαν συμβιβαστεί, φαίνεται ότι οι χάκερ σκόπιμα υποχώρησαν και αφαίρεσαν στοιχεία για να προστατεύσουν άλλες επιχειρήσεις από τους ερευνητές.
Η FireEye αναφέρει επίσης ότι ανακάλυψε νέες λεπτομέρειες αυτής της εκστρατείας εισβολής. Έτσι, ειδικοί βρήκαν τέσσερα πρόσθετα στελέχη κακόβουλου λογισμικού (Επιπρόσθετα με 12 περιγράφηκε προηγουμένως).
- ΑΙΜΑ - Βοηθητικό πρόγραμμα ανάλυσης αρχείων καταγραφής Pulse Secure Connect. Ανακτά πληροφορίες που σχετίζονται με συνδέσεις, δημοσιεύστε αναγνωριστικά και αιτήματα ιστού και αντιγράφετε τα αντίστοιχα δεδομένα σε άλλο αρχείο.
- ΤΡΑΠΕΖΑ ΑΙΜΑΤΟΣ - Ένα βοηθητικό πρόγραμμα κλοπής διαπιστευτηρίων που αναλύει δύο αρχεία που περιέχουν κατακερματισμούς κωδικού πρόσβασης ή κωδικούς πρόσβασης σε ανοιχτή δοκιμή και αναμένει ότι το αρχείο εξόδου θα καθοριστεί στη γραμμή εντολών.
- ΚΑΘΑΡΙΣΜΟΣ - είναι ένα βοηθητικό πρόγραμμα επιδιόρθωσης μνήμης που μπορεί να χρησιμοποιηθεί για να αποτρέψει την εμφάνιση συγκεκριμένων συμβάντων καταγραφής. Βρέθηκε μαζί με το κέλυφος Ιστού ATRIUM.
- ΓΡΗΓΟΡΑ - Ένα κέλυφος ιστού ικανό να διαβάζει αυθαίρετα αρχεία. Όπως και άλλα κελύφη ιστού, Το RAPIDPULSE είναι μια τροποποίηση του νόμιμου αρχείου Pulse Secure. Μπορεί να χρησιμεύσει ως φορτωτής για κρυπτογραφημένα αρχεία.
Επιπλέον, Το FireEye συνεχίζει να συνεργάζεται με τους προγραμματιστές του Pulse Secure για τον εντοπισμό παραβιασμένων συσκευών και των κατόχων τους. Αυτό το έργο επέτρεψε στους αναλυτές να μάθουν περισσότερα σχετικά με τους στόχους των επιτιθέμενων. Έτσι, σύμφωνα με νέα δεδομένα, τα περισσότερα θύματα είναι οργανώσεις που εδρεύουν στις Ηνωμένες Πολιτείες (άλλοι βρίσκονται σε ευρωπαϊκές χώρες). Ενώ οι επιθέσεις θεωρούνταν προηγουμένως ότι στοχεύουν εργολάβους άμυνας και κυβερνητικές υπηρεσίες, έχει πλέον καταστεί σαφές ότι οι επιτιθέμενοι στοχεύουν επίσης τις τηλεπικοινωνίες, εταιρείες χρηματοδότησης και μεταφορών.
Ενώ οι προηγούμενοι αναλυτές της FireEye έγραψαν ότι μόνο το UNC2630 μπορεί να έχει δεσμούς με την κινεζική κυβέρνηση, Τώρα είναι σίγουροι ότι και οι δύο ομάδες ασχολούνται με την κατασκοπεία στον κυβερνοχώρο και “υποστηρίζουν τις βασικές προτεραιότητες της κινεζικής κυβέρνησης.”
Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Το κακόβουλο λογισμικό XCSSET χρησιμοποιεί επιθέσεις 0 ημερών σε macOS.