Analyse af en kommando-og-kontrol (C2) server tildeles forskere, der ved lov håndhævelse efter beslaglæggelsen har givet værdifulde oplysninger om den trussel aktører bag en globale hacking-kampagne.
Døbt “Operation Sharpshooter” af McAfee cybersecurity forskere, kampagnen var første afsløret i December 2018.
Drift Skarpskytte mål ministerier, telekommunikation, energi, forsvar og andre organisationer over hele verden. De angreb bølge overvejende fokuserer på mål i Usa, men ofre i områder, herunder Rusland, STORBRITANNIEN, Australien og andre engelsk-talende lande har også spores.
Forsvar og ministerier var det centrale fokus for hacking ring, som cybersikkerhed forskere, i første omgang, kunne kun er svagt link til nordkoreanske trussel aktører i form af Lazarus Gruppe.
Lazarus er et velkendt cyberespionage ring menes at være en stats-sponsoreret-og statsfinansierede — der fokuserer på overvågning og indsamling af værdifulde efterretninger.
McAfee har fundet, at en in-memory implantatet blev brugt af Drift Skarpskytte operatører til at hente en sekundær komponent, en bagdør, der hedder Rising Sun, som bruges af den samme kilde kode som Duuzer Trojan, malware, der anvendes i en 2016 kampagne gennemført af Lazarus Gruppe.
Se også: 19-årig gør millioner fra etisk hacking
Duuzer var også forbundet til den berygtede Sony-hack, som en nordkoreansk efterretningsofficer blev opkrævet af US Department of Justice (DoJ). Den samme officer, der var knyttet til 2017 WannaCry ransomware udbrud.
I hvad er et usædvanligt skridt, embedsmænd beslaglagt en C2-server, og derefter gav forskerne adgang til aktivet, som derefter leveres holdet med kode og data, der er nødvendige for et stærkere tilhørsforhold til Lazarus.
Denne analyse førte til opdagelsen af flere C2 kampagner, der er knyttet til Drift Skarpskytte, samt forslaget om, at angreb i gang langt tidligere end December 2018-med spor af beviser, der stammer helt tilbage til September 2017.
McAfee siger, at kampagnen, der er i gang, ser nu ud til at have drejes ud fra et fokus på offentlige enheder for at udvide til finansielle tjenesteydelser og kritisk infrastruktur, med den seneste angreb, der finder sted mod mål i Tyskland, Tyrkiet, STORBRITANNIEN og Usa.
CNET: Facebook, Instagram sagsøge Kina-baserede virksomheder over salget af falske konti
De beslaglagte server har også givet bedre synlighed i hvordan Drift Skarpskytte fungerer. Kampagnen “flere aktier design og taktiske overlapper” med tidligere angreb, der tilskrives Lazarus, sådan som falske job rekruttering phishing.
C2 ‘ s infrastruktur har en kerne backend skrevet i Hypertext Preprocessor (PHP) og Active Server Pages (ASP), der har været aktiv siden 2017 og “ser ud til at være tilpassede og unikke for den gruppe,” siger McAfee.
Hertil kommer, at de beslaglagte C2 har afsløret en Afrikansk sammenhæng. Et netværk blok af IP-adresser, der findes i C2 ‘ s server-kode og logs blev spores tilbage til en by i Namibia, som forskerne mener, kunne tyde på angriberne testet deres implantater og andre værktøjer i denne del af verden, før de går globalt.
TechRepublic: Hvorfor ransomware angreb er mere målrettet
Når det kommer til Solen, især McAfee siger, at der er en slags ‘fabrik’ opsætning i stedet, som de enkelte komponenter af den malware, der er udviklet uafhængigt af hinanden, før de bliver boltet til den primære nyttelast. Nogle af disse komponenter og implantater har tidsstempler går tilbage til 2016.
“Tekniske beviser er ofte ikke nok til grundigt at forstå et cyber-angreb, som det ikke giver alle brikkerne til puslespillet,” siger Christiaan Beek, McAfee senior principal engineer, og er ledende forsker. “Adgang til modstanderens kommando-og kontrol-server-kode er en sjælden mulighed. Disse systemer giver indblik i de indre funktioner af cyberattack infrastruktur, er typisk beslaglagt af lov håndhævelse, og kun sjældent stilles til rådighed for private sektor forskere.”
Tidligere og relaterede dækning
Dow Jones overvågningsliste af høj-risiko finansielle forbindelser lækket online
Detailhandlen lider nye point-of-sale it-kriminalitet amok
Målrettet malware-angreb mod Elasticsearch servere bølge
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre