Analys av ett kommando-och-kontroll (C2) server som delas ut till forskare av polis efter utmätning har gett värdefull information om hot aktörer bakom en global hacka kampanj.
Döpt till “Operation Sharpshooter” av McAfee cybersäkerhet forskare, kampanjen var först upptäcktes i December 2018.
Drift Sharpshooter mål myndigheter, telekom, energi, försvar, och andra organisationer över hela världen. Attacken våg främst fokuserar på mål i Usa, men offren i områden, bland annat Ryssland, STORBRITANNIEN, Australien och andra engelsktalande länder har också spårats.
Försvar och myndigheter var i fokus för dataintrång ringen, som it-forskare vid första, kan bara lös länk till nordkoreanska hot aktörer i form av Lazarus Grupp.
Lazarus är en välkänd cyberespionage ring som tros vara ett statligt sponsrade — och statligt finansierad — som fokuserar på övervakning och insamling av värdefulla underrättelser.
McAfee finns som ett minne implantat användes av Drift Sharpshooter aktörer för att hämta en sekundär komponent, en bakdörr som heter Rising Sun som använde samma källkod som Duuzer Trojan, skadlig kod som används i ett 2016 kampanj som bedrivs av Lazarus Grupp.
Se också: 19-åriga gör miljoner från etisk hacking
Duuzer var också kopplad till den ökända Sony hacka, för som en nordkoreansk intelligens officer var ut av det AMERIKANSKA Department of Justice (DoJ). Samma tjänsteman var kopplade till 2017 WannaCry ransomware utbrott.
I vad som är ett ovanligt drag, statliga tjänstemän tog en C2-server och sedan gav forskarna tillgång till tillgången, vilket gav sedan laget med den koden och de uppgifter som krävs för en starkare erkännande till Lazarus.
Denna analys ledde till upptäckten av flera C2 kampanjer kopplade till Drift Sharpshooter, liksom förslaget om att attackerna började långt tidigare än December 2018 — med spår av bevis som härrör tillbaka så långt som i September 2017.
McAfee säger att kampanjen, som pågår nu verkar ha fällas från ett fokus på myndigheter för att expandera till finansiella tjänster och kritisk infrastruktur, med de mest den senaste tidens attacker som sker mot mål i Tyskland, Turkiet, STORBRITANNIEN och Usa.
CNET: Facebook, Instagram stämma Kina-baserat företag över försäljningen av falska konton
De beslagtagna server har också bättre insyn i hur Verksamheten Sharpshooter fungerar. Kampanjen “aktier flera design och taktiska överlappningar” med tidigare attacker hänföras till Lazarus, som falska jobb rekrytering nätfiske.
C2 infrastruktur har en kärna backend skrivet i Hypertext Preprocessor (PHP) och ASP (Active Server Pages) som har varit aktiv sedan 2017 och “verkar vara anpassad och unik grupp,” McAfee säger.
Dessutom beslagtogs C2 har avslöjat en Afrikansk anslutning. Ett nätverk block av IP-adresser finns i C2 ‘ s server-kod och loggar spårades tillbaka till en stad i Namibia, vilket forskarna tror kan tyda på angriparna testade sina implantat och andra verktyg i denna del av världen innan att gå globala.
TechRepublic: Varför ransomware attacker blir allt mer riktade
När det kommer till Stigande Solen, i synnerhet, McAfee säger att det är en typ av ‘factory’ uppställning på plats där enskilda komponenter av skadlig kod som utvecklats oberoende av varandra innan de skruvas till den största nyttolast. Några av dessa komponenter och implantat har tidsstämplar som går tillbaka till år 2016.
“Tekniska bevis är ofta inte tillräckligt för att helt och fullt förstå en cyberattack, eftersom det inte ger alla bitar till pusslet, säger Christiaan Beek, McAfee senior principal engineer och bly forskare. “Tillgång till motståndarens kommando-och-kontroll-server-kod är en sällsynt möjlighet. Dessa system ger en insikt i det inre arbetet i cyberattack infrastruktur, är oftast beslagtas av polis, och endast sällan görs tillgängliga för den privata sektorn forskare.”
Tidigare och relaterade täckning
Dow Jones bevakningslista av riskfyllda finansiella förbindelser läckt ut på nätet
Detaljhandeln uthärdar nya point-of-sale it-relaterad brottslighet spree
Riktade malware attacker mot Elasticsearch servrar våg
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter