UE ripensa rapporto con la Cina come nuova spionaggio aziendale caso di superfici
Un nuovo caso sospetto di un Cinese di spionaggio industriale evidenzia l’Europa difficile equilibrio tra sfruttando le opportunità in Cina e di protezione contro il furto di tecnologia di tornare a casa.
Un fantomatico hacking operazione utilizzando un non precedentemente dichiarata segreta in una campagna di malware targeting diplomatici e dipartimenti governativi di tutto il mondo.
Il Ke3chang advanced persistent threat gruppo è pensato per operare al di fuori della Cina, e ha condotto un cyber-spionaggio campagne di utilizzo di remote access trojan e altri malware, almeno dal 2010.
Ora cybersecurity i ricercatori ESET hanno identificato nuovi attacchi Ke3chang – noto anche come APT 15 -che l’utilizzo di una versione aggiornata del Ketrican malware, a fianco di un nuovo backdoor che è stato definito Okrum.
Gli aggressori hanno preso di mira diplomatiche, enti e altre istituzioni di governo nei paesi in tutta Europa e in America Centrale e del Sud. La slovacchia sembra essere una regione chiave di interesse per Ke3chang, ma le campagne hanno colpito anche il Belgio, Croazia, Repubblica ceca in Europa, così come Brasile, Cile e Guatemala nelle Americhe.
Precedente attività del gruppo indica che l’obiettivo di questo ultimo round di attacchi, è probabile che sia di spionaggio a favore di Pechino.
“L’attaccante e l’obiettivo principale è più probabile cyberespionage, è per questo che hanno scelto questi obiettivi,” Zuzana Hromcova, ricercatore presso ESET detto a ZDNet.
Non è ancora noto come Okrum è distribuito agli obiettivi, ma il caricatore è caduto su una macchina prima di controllare non è in esecuzione in una sandbox, se lo è, termina se stesso, nel tentativo di evitare il rilevamento e l’analisi da parte dei ricercatori.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Il payload solo, che diventerà operativo dopo il tasto sinistro del mouse ha cliccato almeno tre volte probabili essere un’altra tattica per garantire che è solo di essere installato sul reale funzionamento delle macchine.
Una volta completamente distribuito, Okrum in grado di fornire di per sé pieno di privilegi di amministratore e raccoglie informazioni sul computer infetto, come nome del computer, nome utente, indirizzo IP dell’host e quale sistema operativo è installato.
Il malware è anche in grado di impartire comandi come il download e upload di file – un utile strumento per il furtivo rubare i file, come pure l’esecuzione di comandi di shell e il rilascio di aggiornamenti. I ricercatori hanno anche notato Okrum distribuzione di strumenti aggiuntivi come Mimikatz che può agire come un keylogger e password stealer.
La ricerca ha trovato che Okrum condiviso molti degli stessi comandi come Ketrican nonché delle forti similitudini nel codice delle due forme di malware. Inoltre, i ricercatori hanno trovato che le stesse vittime sono stati presi di mira da entrambe le forme di malware, suggerendo un legame forte – anche se alcuni attacchi sono stati anni di distanza.
“Abbiamo cominciato a collegare i puntini quando abbiamo scoperto che l’Okrum backdoor è stato utilizzato per eliminare una Ketrican backdoor, compilato nel 2017”, ha detto Hromcova
“Inoltre, abbiamo trovato che alcuni diplomatici soggetti che sono stati colpiti dalla Okrum malware e il 2015 Ketrican backdoor sono stati colpiti anche dal 2017 Ketrican backdoor”, ha aggiunto.
Con la campagna che sono stati attivi per quasi un decennio e ancora in evoluzione tattica e attacchi, è molto probabile che Ke3chang continuerà a rimanere attivi e di condurre ulteriori attacchi contro obiettivi geopolitici.
ESET ha elencato tutte le note Indicatori di Compromesso relative alle campagne in tutta la sua analisi di Ke3chang attività.
PER SAPERNE DI PIÙ SULLA SICUREZZA INFORMATICA
Cyber-spionaggio avvertenza: Il più avanzato gruppi di hacker sono sempre più ambiziosihacker russi di provare questo nuovo malware contro di NOI e gli obiettivi Europei [TechRepublic]Questi hacker si è rotto in 10 aziende di telecomunicazioni per rubare i clienti di telefono recordrusso gigante di internet, Yandex riferito violato da Western agenzia di intelligence [CNET]Libero, facile da usare e alla portata di tutti: Il potente malware nascosti in bella vista sul web aperto
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati