Kiinalaiset hakkerit peittävät jäljet ja poistavat haittaohjelmat muutama päivä ennen havaitsemista
FireEye-asiantuntijat kiinnitti huomiota kiinalaisten hakkereiden outoon käyttäytymiseen, WHO, yrittäessään peittää heidän jälkeensä, poista haittaohjelma vähän ennen havaitsemista.
Tutkijoiden mukaan, kaksi hakkerointiryhmää hyökkäävät Pulse Secure VPN: n nollapäivän haavoittuvuuteen hyökätäkseen amerikkalaisten puolustusurakoitsijoiden ja hallitusjärjestöjen verkostoihin ympäri maailmaa.
FireEyen mukaan, hakata alkoi jo elokuussa 2020, kun ensimmäinen hakata ryhmä, jota yritys seuraa UNC2630, kohdistettu Yhdysvaltain puolustusurakoitsijoille ja eurooppalaisille järjestöille. Analyytikoiden mukaan, nämä hakkerit “toimia Kiinan hallituksen puolesta ja sillä voi olla yhteyksiä APT5: een,” se on toinen tunnettu kiinalainen verkkovakoiluryhmä.
Lokakuussa 2020, toinen ryhmä hakkereita liittyi hyökkäyksiin (FireEye antoi sille tunnuksen UNC2717), mutta asiantuntijat eivät tienneet siitä käytännössä mitään.
Kummassakin tapauksessa, hyökkääjät asensivat verkkokuoret haavoittuville laitteille, ja käytti niitä sitten uhrien luokse’ sisäiset verkot, mistä he varastivat valtakirjat, kirjeet ja luottamukselliset asiakirjat.
Nyt a uusi raportti, FireEye kirjoittaa, että näiden hyökkäysten lisätutkimukset auttoivat löytämään jotain outoa: ainakin yksi tapahtumiin osallistuneista ryhmistä alkoi poistaa haittaohjelmansa tartunnan saaneista verkoista kolme päivää ennen paljastamista.
“Huhtikuun välisenä aikana 17 ja 20, 2021, Mandiant-asiantuntijat havaitsivat, että UNC2630 sai pääsyn kymmeniin vaarantuneisiin laitteisiin ja poisti verkkokuoret, kuten ATRIUM ja SLIGHTPULSE”, - analyytikot kirjoittavat.
Verkkorikollisten toimet näyttävät epäilyttäviltä ja herättävät kysymyksiä, esimerkiksi, jos hyökkääjät voisivat tietää FireEyen kiinnostuksesta. Tietysti, haittaohjelman poisto olisi voinut olla sattumaa, mutta jos UNC2630: n osallistujat tietäisivät, että FireEye tutkii joitain heidän vaarantamiaan verkkoja, näyttää siltä, että hakkerit tahallaan peruivat ja poistivat todisteita muiden toimien suojaamiseksi tutkijoilta.
FireEye kertoo myös löytäneensä uusia yksityiskohtia tästä hakkerointikampanjasta. Niin, asiantuntijat löysivät neljä uutta haittaohjelmakantaa (lisäksi 12 aiemmin kuvattu).
- VERIMIINI - Pulse Secure Connect -lokitiedoston analysointityökalu. Hakee kirjautumistietoihin liittyviä tietoja, lähettää tunnukset ja verkkopyynnöt ja kopioi vastaavat tiedot toiseen tiedostoon.
- VERIPANKKI - Tunnistevarkausapuohjelma, joka jäsentää kaksi salasanan tiivisteitä tai salasanoja sisältävää tiedostoa avoimessa testissä ja odottaa, että lähtötiedosto määritetään komentorivillä.
- PUHDISTA - se on muistin korjaustyökalu, jota voidaan käyttää estämään tiettyjen lokitapahtumien esiintyminen. Se löydettiin yhdessä ATRIUM-verkkokuoren kanssa.
- NOPEA - Verkkokuori, joka pystyy lukemaan mielivaltaisia tiedostoja. Kuten muutkin verkkokuoret, RAPIDPULSE on muokkaus lailliseen Pulse Secure -tiedostoon. Voi toimia salattujen tiedostojen lataimena.
Lisäksi, FireEye jatkaa yhteistyötä Pulse Secure -kehittäjien kanssa vaarantuneiden laitteiden ja niiden omistajien tunnistamiseksi. Tämä työ antoi analyytikoille mahdollisuuden oppia lisää hyökkääjien kohteista. Niin, uusien tietojen mukaan, suurin osa uhreista on Yhdysvalloissa sijaitsevia järjestöjä (toiset sijaitsevat Euroopan maissa). Vaikka aiemmin hyökkäysten uskottiin kohdistuneen puolustusurakoitsijoihin ja valtion virastoihin, nyt on käynyt selväksi, että hyökkääjät kohdensivat myös televiestintää, rahoitus- ja kuljetusyritykset.
Aikaisemmat FireEye-analyytikot kirjoittivat, että vain UNC2630: lla voi olla yhteyksiä Kiinan hallitukseen, nyt he ovat vakuuttuneita siitä, että molemmat ryhmät harjoittavat verkkovakoilua ja “tukea Kiinan hallituksen keskeisiä painopisteitä.”
Haluan muistuttaa teitä siitä, että kirjoitin myös sen XCSSET-haittaohjelma käyttää 0 päivän hyökkäyksiä macOS: ssa.