Różności i nowinki technologia

Jak wynika z raportu, masowy hack finansowany przez państwo chińskie uderza w firmy na całym świecie

Płyta główna została poddana obróbce w Photoshopie i zawiera chińską flagę.
Powiększać / Chip komputerowy z chińską flagą, 3d koncepcyjne ilustracji.

Naukowcy odkryli ogromną kampanię hakerską, w której wykorzystuje się zaawansowane narzędzia i techniki do naruszania sieci firm na całym świecie

Hakerzy, najprawdopodobniej ze znanej grupy finansowanej przez chiński rząd, są wyposażeni zarówno w gotowe, jak i wykonane na zamówienie narzędzia. Jedno z takich narzędzi wykorzystuje Zerologon, nazwę nadaną luce w zabezpieczeniach serwera Windows, załatanej w sierpniu, która może dać atakującym natychmiastowe uprawnienia administratora na podatnych systemach.

Symantec używa nazwy kodowej Cicada dla grupy, która jest powszechnie uważana za finansowaną przez chiński rząd i nosi również pseudonimy APT10, Stone Panda i Cloud Hopper z innych organizacji badawczych. Grupa jest aktywna w hakowaniu w stylu szpiegowskim od co najmniej 2009 roku i atakuje prawie wyłącznie firmy powiązane z Japonią. Chociaż firmy, na które skierowano ostatnią kampanię, znajdują się w Stanach Zjednoczonych i innych krajach, wszystkie mają linki do Japonii lub firm japońskich.

W punkcie obserwacyjnym

„Organizacje powiązane z Japonią muszą zachować czujność, ponieważ jest jasne, że są kluczowym celem tej wyrafinowanej i dobrze wyposażonej grupy, a przemysł motoryzacyjny wydaje się być kluczowym celem tej kampanii ataku” – napisali naukowcy z firmy zabezpieczającej Symantec w raport. „Jednak ze względu na szeroką gamę branż będących celem tych ataków japońskie organizacje we wszystkich sektorach muszą mieć świadomość, że są narażone na tego rodzaju działalność”.

Ataki w dużym stopniu wykorzystują ładowanie boczne DLL, technikę, która występuje, gdy atakujący zastępują legalny plik biblioteki dołączanej dynamicznie systemu Windows złośliwym. Atakujący używają ładowania bocznego DLL, aby wstrzyknąć złośliwe oprogramowanie do legalnych procesów, aby zapobiec wykryciu włamania przez oprogramowanie zabezpieczające.

Kampania wykorzystuje również narzędzie, które jest w stanie wykorzystać Zerologon. Eksploity działają, wysyłając ciąg zer w serii wiadomości, które używają protokołu Netlogon, którego serwery Windows używają do umożliwienia użytkownikom logowania się do sieci. Osoby bez uwierzytelniania mogą korzystać z Zerologon, aby uzyskać dostęp do klejnotów koronnych organizacji – kontrolerów domeny Active Directory, które działają jako wszechmocny strażnik dla wszystkich maszyn podłączonych do sieci.

Firma Microsoft załatała krytyczną lukę w zabezpieczeniach umożliwiającą eskalację uprawnień w sierpniu, ale od tego czasu osoby atakujące wykorzystują ją do złamania zabezpieczeń organizacji, które jeszcze nie zainstalowały tej aktualizacji. Zarówno FBI, jak i Departament Bezpieczeństwa Wewnętrznego wezwały do ​​natychmiastowej aktualizacji systemów.

Wśród komputerów zaatakowanych podczas ataków wykrytych przez firmę Symantec były kontrolery domeny i serwery plików. Badacze z firmy odkryli również dowody na to, że pliki były eksfiltrowane z niektórych zainfekowanych maszyn.

Wiele regionów i branż

Cele pochodzą z różnych branż, w tym:

  • Motoryzacja, a niektórzy producenci i organizacje zaangażowane w dostarczanie części dla przemysłu motoryzacyjnego również byli celem, wskazując, że jest to sektor silnie interesujący dla atakujących
  • Odzież
  • Konglomeraty
  • Elektronika
  • Inżynieria
  • Ogólne firmy handlowe
  • Rząd
  • Produkty przemysłowe
  • Dostawcy usług zarządzanych
  • Produkcja
  • Farmaceutyczny
  • Profesjonalne usługi

Poniżej znajduje się mapa fizycznej lokalizacji celów:

Symantec

Firma Symantec powiązała ataki z cykadą na podstawie cyfrowych odcisków palców znalezionych w złośliwym oprogramowaniu i kodzie ataku. Odciski palców obejmowały techniki zaciemniania i kod powłoki zaangażowany w ładowanie boczne DLL, a także następujące cechy odnotowane w tym raporcie firmy zabezpieczającej Cylance z 2019 r .:

  • Biblioteka DLL trzeciego etapu ma eksport o nazwie „FuckYouAnti”
  • Biblioteka DLL trzeciego etapu używa techniki CppHostCLR do wstrzyknięcia i wykonania zestawu modułu ładującego .NET
  • Program ładujący .NET jest zaciemniany za pomocą programu ConfuserEx w wersji 1.0.0
  • Ostatnim ładunkiem jest QuasarRAT – backdoor typu open source używany przez Cicadę w przeszłości

„Skala operacji wskazuje również na grupę rozmiarów i możliwości Cykady” – napisali naukowcy z firmy Symantec. „Ukierunkowanie na wiele dużych organizacji w różnych lokalizacjach w tym samym czasie wymagałoby wielu zasobów i umiejętności, które są zwykle widoczne tylko w grupach wspieranych przez państwa narodowe. Łączność wszystkich ofiar z Japonią wskazuje również na cykadę, o której wiadomo, że w przeszłości atakowała japońskie organizacje ”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook