Analisi di comando e controllo (C2) server assegnato ai ricercatori di applicazione della legge, dopo il sequestro ha fornito preziose informazioni sulla minaccia attori dietro globale hacking campagna.
Soprannominata “Operazione Cecchino” da McAfee per la sicurezza cibernetica ricercatori, la campagna è stata prima scoperto nel dicembre 2018.
Operazione Cecchino obiettivi dei dipartimenti del governo, delle telecomunicazioni, dell’energia, della difesa e di altre organizzazioni in tutto il mondo. L’onda di attacco si concentra prevalentemente su obiettivi, negli Stati Uniti, ma le vittime in aree, tra cui la Russia, il regno UNITO, Australia e altri paesi di lingua inglese hanno, inoltre, è stato rintracciato.
Difesa e dipartimenti governativi sono stati il fulcro dell’hacking anello, che i ricercatori di sicurezza informatica, in un primo momento, potrebbe solo debolmente link alla corea del Nord minaccia gli attori da via Lazzaro di Gruppo.
Lazzaro è un noto cyberespionage anello creduto di essere stato sponsorizzato — e finanziato dallo stato, che si concentra su di sorveglianza e la raccolta di preziose informazioni.
McAfee ha rilevato che in memoria, l’impianto è stato utilizzato da Operazione Cecchino operatori per scaricare un componente secondario, una backdoor chiamato Rising Sun che ha usato lo stesso codice sorgente Duuzer Trojan, malware utilizzato nel 2016 campagna condotta dalla Lazzaro di Gruppo.
Vedi anche: 19-year-old milioni da ethical hacking
Duuzer è stato anche collegato con il famigerato Sony hack, per il quale la corea del Nord funzionario dell’intelligence è stato incaricato dal Dipartimento di Giustizia (DoJ). Lo stesso ufficiale era legato al 2017 WannaCry ransomware scoppio.
In una mossa insolita, funzionari di governo sequestrato una C2 server e poi ha dato ai ricercatori l’accesso al bene, che poi se la squadra con il codice e i dati necessari per una maggiore attribuzione di Lazzaro.
Questa analisi ha portato alla scoperta di più di C2, legate al Funzionamento del tiratore scelto, così come il suggerimento che gli attacchi iniziato molto prima rispetto a dicembre 2018 — con tracce di prove derivanti indietro fino a settembre 2017.
McAfee dice che la campagna, che è in corso, ora sembra aver ruotato da un focus su enti governativi per espandere i servizi finanziari e delle infrastrutture critiche, con i più recenti attacchi a prendere posizione contro obiettivi in Germania, Turchia, regno UNITO e Stati Uniti.
CNET: Facebook, Instagram sue Cina imprese a base sulle vendite di account falsi
Sequestrati server ha anche fornito una maggiore visibilità come Operazione Cecchino opera. La campagna “azioni multiple di design tattico e sovrapposizioni” con passato di attacchi attribuiti a Lazzaro, come il falso lavoro assunzione schemi di phishing.
C2 infrastrutture ha un core backend scritto in Hypertext Preprocessor (PHP) e ASP (Active Server Pages), che è attivo dal 2017 e “sembra essere personalizzato e unico per il gruppo”, McAfee dice.
Inoltre, sequestrati C2 ha rivelato un Africano di connessione. Un blocco di rete di indirizzi IP trovato in C2 codice del server e i registri non sono riconducibili a una città in Namibia, che i ricercatori ritengono che potrebbe indicare che gli aggressori hanno testato i loro impianti e altri strumenti in questa parte del mondo, prima di andare globale.
TechRepublic: Perché attacchi ransomware sono sempre più mirati
Quando si tratta di “Rising Sun”, in particolare, McAfee dice che c’è una sorta di ‘fabbrica’ di installazione nel luogo in cui i singoli componenti del malware sono sviluppate in modo indipendente prima di essere avvitato-nel payload. Alcuni di questi componenti e impianti timestamp risalente al 2016.
“Prove tecniche spesso non è sufficiente per capire a fondo un attacco informatico, in quanto non fornisce tutti i pezzi del puzzle”, dice Christiaan Beek, McAfee senior principal engineer, di piombo e di scienziato. “L’accesso all’avversario di comando-e-controllo codice del server è una rara opportunità. Questi sistemi forniscono informazioni sul funzionamento interno di attacco infrastrutture, in genere sono sequestrati dalle forze dell’ordine, e solo raramente reso disponibile a privato ricercatori del settore.”
Precedente e relativa copertura
Dow Jones incagli rischio finanziario connessioni trapelato online
Settore Retail sopporta nuovo punto vendita baldoria di crimine informatico
Attacchi di malware mirati contro Elasticsearch server di sovratensione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati