Leakers het publiceren van de broncode van de Iraanse hack gereedschappen
APT34 hacking-tools en slachtoffer gegevens gelekt op een geheimzinnige Telegram kanaal sinds vorige maand.
Als mede-ZDNet schrijver Andrada Fiscutean ooit schreef in het najaar van 2017: “Spionnen hack. Maar de beste spionnen hack andere spionnen.”
Dat verhaal draaide om een Virus Bulletin 2017 praten detaillering van een aantal mysterieuze zaken waar APTs (advanced persistent threats, een technische term gebruikt voor het beschrijven van de overheid gesteunde hacken eenheden) bleek had gecompromitteerd de infrastructuur van de andere APTs, hetzij door een ongeluk, of met opzet.
Het artikel wordt vermeld hoe twee Noord-koreaanse APTs gehackt dezelfde “staging” server lunch aanvallen tegen hun doelstellingen te bereiken, maar zonder lijkt te hebben geweten over elkaars aanwezigheid op hetzelfde systeem.
En het wordt ook genoemd het geval van een mysterieuze Chinese APT dat gehackte het bedieningspaneel van command and control (C&C) servers die door een russische APT (Gehurkt Yeti, DragonFly) voor het implementeren van een verborgen tracking pixel te controleren elke keer dat russische werknemers vastgelegd in hun accounts om aanvallen te lanceren.
Een nieuw exemplaar van “spionnen hack andere spionnen”
Maar vandaag, in een rapport, gepubliceerd door Symantec en gedeeld met ZDNet, de AMERIKAANSE cyber-security bedrijf zei dat het vinden van een andere zaak van een land APT hacken van de infrastructuur van een ander land van de APT.
De één doet al het hacken is een APT bekend als Turla, gekoppeld aan Rusland regering voor bijna twee decennia.
De Turla APT is berucht voor zijn activiteiten in het verleden die lijken te worden getrokken van Hollywood-films. De groep is bekend om te kapen en het gebruik van telecommunicatie-satellieten te leveren malware naar afgelegen gebieden van de wereld, heeft zich ontwikkeld malware die verborg haar controle mechanisme in de commentaren op Britney Spears’ Instagram foto ‘s, en heeft gekaapt, de infrastructuur van de hele Isp’ s om gebruikers om te leiden naar malware.
Een van zijn meer recente hack campagnes, zoals beschreven in ESET en Kaspersky rapporten, gepaard met het gebruik van een nieuw en ongelooflijk slim soort backdoor voor Microsoft Exchange e-mail servers, de zogenaamde LightNeuron (Symantec codename: Neptun).
Turla gehackt APT34 eind 2017
Tijdens het onderzoeken van deze campagne voor het eigen verslag, Symantec zei dat het gevonden bewijs, dat ergens in November 2017, de Turla APT (die Symantec noemt Waterbug) had gehackt in de server infrastructuur van een Iraanse APT bekend als APT34 (ook bekend als Oilrig of Crambus).
Volgens Symantec, Turla gebruikt APT34 de command en control servers te laten vallen malware op de computers al besmet met Oilrig hacking-tools.
“De eerste waargenomen bewijs van [Turla] activiteit kwam op 11 januari 2018, als een [Turla]-linked tool (een taakplanner naam msfgi.exe) werd gedropt op een computer van het slachtoffer netwerk,” Symantec zei.
De volgende dag, op 12 januari, de Turla groep gebruikt APT34 het netwerk nogmaals, laten vallen van aanvullende malware op andere computers eerder aangetast door APT34. Het slachtoffer werd uit het Midden-Oosten overheid, volgens Symantec.
Afbeelding: Symantec
Het blijkt dat APT34 operators niet op te sporen van de inbraak.
“We hebben geen bewijs dat [Oilrig] gereageerd op de overname,” Alexandrea Berninger, een Senior Cyber Intelligence Analist voor Symantec Managed Tegenstander en Threat Intelligence (MATI) team, vertelde ZDNet via e-mail.
“We hebben echter aanwijzingen dat [Oilrig] bleef actief in de overheid entiteit netwerk door middel van ten minste eind 2018 met andere commando-en controle-infrastructuur,” zei ze.
En Turla ‘ s aanwezigheid op hetzelfde netwerk ook verder, tot minstens September 2018, wanneer Symantec laatst zag activiteit van de russische hackers.
De APT34 lekken
Maar de Turla hack van APT34 de infrastructuur was niet APT34 is alleen maar lek. In Maart en April van dit jaar, een mysterieuze groep hackers heeft proberen te verkopen en heeft vrijgegeven van de bron-code van verschillende APT34 hacking-tools.
Het is een wonder als het lekken van de APT34 tools zijn niet Turla of een collega-russische inlichtingendienst.
“Er is geen bewijs dat wijst in deze richting,” Berninger vertelde ZDNet.
“Echter, de lekken te suggereren dat [APT34 s] infrastructuur is kwetsbaar om compromissen te sluiten, wat betekent dat het mogelijk is een relatief eenvoudige afleiding voor [Turla] en gebruik [APT34 s] – infrastructuur.”
Symantec ‘ s verslag over de recente Turla (Waterbug) hacken campagne zal worden vrijgegeven later op de dag. We updaten deze alinea met een link naar het rapport wanneer het gaat naar de beurs.
Gerelateerde malware en cybercriminaliteit dekking:
Nieuwe Echobot malware is een allegaartje van vulnerabilitiesFlorida stad betaalt $600.000, – bij aan ransomware bende om de gegevens backRansomware stopt productie voor dagen op grote vliegtuig onderdelen manufacturerMysterious Iraanse groep is het hacken van het DNA sequencersNew Plurox malware is een backdoor, cryptominer, en een worm, allemaal verpakt in oneMicrosoft waarschuwt Azure klanten van Exim worm Meer dan 3B valse e-mails verzonden per dag, zoals phishing-aanvallen aanhouden TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters