Chińscy hakerzy zacierają ślady i usuwają złośliwe oprogramowanie na kilka dni przed wykryciem

Specjaliści FireEye zwrócił uwagę na dziwne zachowanie chińskich hakerów, WHO, próbując zatrzeć ślady, usuń złośliwe oprogramowanie na krótko przed wykryciem.

Według badaczy, dwie grupy hakerów wykorzystują lukę dnia zerowego w Pulse Secure VPN do atakowania sieci amerykańskich wykonawców obrony i organizacji rządowych na całym świecie.

Według FireEye .a, hacki zaczęły się już w sierpniu 2020, kiedy pierwsza grupa hakerów, które firma śledzi jako UNC2630, ukierunkowani kontrahenci zbrojeniowi z USA i organizacje europejskie. Według analityków, ci hakerzy “działać w imieniu rządu chińskiego i mogą mieć powiązania z APT5,” to kolejna znana chińska grupa cyberszpiegowska.

W październiku 2020, do ataków przyłączyła się druga grupa hakerów (FireEye przypisał mu ID UNC2717), ale eksperci praktycznie nic o tym nie wiedzieli.

W obu przypadkach, atakujący zainstalowali powłoki webowe na podatnych urządzeniach, a następnie użył ich, aby przejść do ofiar’ sieci wewnętrzne, skąd ukradli poświadczenia, listy i dokumenty poufne.

Teraz w nowy raport, FireEye pisze, że dalsze badanie tych ataków pomogło odkryć coś dziwnego: co najmniej jedna z grup zaangażowanych w incydenty zaczęła usuwać swoje szkodliwe oprogramowanie z zainfekowanych sieci na trzy dni przed ujawnieniem.

“Między kwietniem 17 i 20, 2021, Specjaliści Mandiant zauważyli, że UNC2630 uzyskał dostęp do dziesiątek zhakowanych urządzeń i usunęło powłoki internetowe, takie jak ATRIUM i SLIGHTPULSE”, — piszą analitycy.

Działania cyberprzestępców wyglądają podejrzanie i rodzą pytania, na przykład, gdyby napastnicy mogli wiedzieć o zainteresowaniu FireEye. Oczywiście, usunięcie złośliwego oprogramowania mogło być zbiegiem okoliczności, ale gdyby uczestnicy UNC2630 wiedzieli, że FireEye bada niektóre sieci, które skompromitowali, wygląda na to, że hakerzy celowo wycofali się i usunęli dowody, aby chronić inne operacje przed badaczami.

FireEye informuje również, że odkrył nowe szczegóły tej kampanii hakerskiej. Więc, eksperci znaleźli cztery dodatkowe odmiany złośliwego oprogramowania (dodatkowo 12 poprzednio opisany).

• KOPALNIA KRWI — Narzędzie do analizy plików dziennika Pulse Secure Connect. Pobiera informacje związane z logowaniem, umieszczać identyfikatory i żądania internetowe oraz kopiować odpowiednie dane do innego pliku.
• BANK KRWI — Narzędzie do kradzieży poświadczeń, które analizuje dwa pliki zawierające skróty haseł lub hasła w otwartym teście i oczekuje, że plik wyjściowy zostanie określony w wierszu poleceń.
• PULS CZYSTY — jest to narzędzie do łatania pamięci, którego można użyć, aby zapobiec występowaniu niektórych zdarzeń w dzienniku. Został znaleziony wraz z powłoką internetową ATRIUM.
• SZYBKI PULS — Powłoka sieciowa zdolna do odczytywania dowolnych plików. Podobnie jak inne powłoki internetowe, RAPIDPULSE to modyfikacja legalnego pliku Pulse Secure. Może służyć jako loader do zaszyfrowanych plików.

Dodatkowo, FireEye kontynuuje współpracę z twórcami Pulse Secure w celu identyfikacji zhakowanych urządzeń i ich właścicieli. Ta praca pozwoliła analitykom dowiedzieć się więcej o celach atakujących. Więc, według nowych danych, większość ofiar to organizacje z siedzibą w Stanach Zjednoczonych (inne znajdują się w krajach europejskich). Chociaż wcześniej uważano, że ataki były wymierzone w wykonawców obrony i agencje rządowe,, teraz stało się jasne, że napastnicy wzięli na cel także telekomunikację, firmy finansowe i transportowe.

Podczas gdy wcześniej analitycy FireEye pisali, że tylko UNC2630 może mieć powiązania z chińskim rządem, teraz są pewni, że obie grupy są zaangażowane w cyberszpiegostwo i “wspierać kluczowe priorytety rządu chińskiego.”

Przypomnę, że ja też tak napisałem Złośliwe oprogramowanie XCSSET wykorzystuje ataki 0-day w systemie macOS.