Analyse van een command-and-control (C2) – server toegekend aan onderzoekers door handhaving van de wet na beslaglegging heeft waardevolle informatie over de dreiging acteurs achter een wereldwijde hacken campagne.
Genaamd “Operatie Scherpschutter” door McAfee cybersecurity onderzoekers, de campagne werd voor het eerst ontdekt in December 2018.
Werking Scherpschutter doelen departementen van de overheid, telecom, energie, defensie en andere organisaties over de hele wereld. De aanvalsgolf voornamelijk richt zich op doelen in de Verenigde Staten, maar de slachtoffers in gebieden met inbegrip van Rusland, het verenigd koninkrijk, Australië, en de andere engels-sprekende landen hebben ook achterhaald.
Defensie en de regering waren de diensten van de centrale focus van het hacken van de ring, die de cybersecurity onderzoekers, in eerste instantie, kan alleen tenuously link naar de Noord-koreaanse dreiging actoren door middel van de Lazarus-Groep.
Lazarus is een bekende cyberespionage ring verondersteld om een state-sponsored — en door de overheid gefinancierde — die zich richt op het toezicht op en het verzamelen van waardevolle intelligentie.
McAfee vond dat een in-memory implantaat werd gebruikt door de Werking Scherpschutter operators voor het downloaden van een secundaire component, een backdoor genoemd Opkomende Zon, die gebruikt dezelfde bron code als de Duuzer Trojan, malware gebruikt in een 2016 campagne uitgevoerd door de Lazarus-Groep.
Zie ook: de 19-jarige maakt miljoenen van ethical hacking
Duuzer was ook verbonden aan de beruchte Sony hack, die een Noord-koreaanse officier van de inlichtingendienst werd aangerekend door het AMERIKAANSE Department of Justice (DoJ). Dezelfde officier was gekoppeld aan de 2017 WannaCry ransomware uitbraak.
In wat is een ongebruikelijke stap, ambtenaren van de overheid in beslag genomen van een C2-server en vervolgens gaf de onderzoekers de toegang tot het actief, dat worden dan het team met de code en gegevens, vereist voor het sterker toeschrijving aan Lazarus.
Deze analyse heeft geleid tot de ontdekking van meerdere C2 campagnes gekoppeld aan de Werking Scherpschutter, evenals de suggestie dat de aanvallen begonnen al veel eerder dan December 2018 — met sporen van bewijs dat terug tot September 2017.
McAfee zegt dat de campagne, die is aan de gang, nu lijkt te hebben gedraaid vanaf een focus op de overheid entiteiten uit te breiden tot financiële diensten en kritische infrastructuur, met de meest recente aanvallen plaats tegen doelen in Duitsland, Turkije, het verenigd koninkrijk en de Verenigde Staten.
CNET: Facebook, Instagram sue in China gevestigde bedrijven over de verkoop van nep-accounts
De in beslag genomen server heeft ook gezorgd voor een betere zichtbaarheid in hoe de Werking Scherpschutter werkt. De campagne “aandelen meerdere design en tactische overlap” met het verleden aanslagen toegeschreven aan Lazarus, zoals nep-job recruitment phishing.
De C2-infrastructuur heeft een kern backend geschreven in Hypertext Preprocessor (PHP) en ASP (Active Server Pages) die actief is sinds 2017 en “lijkt te worden aangepast en uniek voor de groep,” McAfee zegt.
Naast de in beslag genomen C2 geopenbaard heeft een Afrikaanse-verbinding. Een netwerk blokkeren van IP-adressen in de C2-server code en de stammen zijn terug te voeren naar een stad in Namibië, die de onderzoekers zijn van mening kon geven aan de aanvallers getest op hun implantaten en andere hulpprogramma ‘ s in dit deel van de wereld voor te gaan mondiaal.
TechRepublic: Waarom ransomware aanvallen zijn steeds gericht
Als het gaat om de Opkomende Zon, in het bijzonder, McAfee zegt dat er een soort ‘fabriek’ setup in de plaats waar de individuele componenten van de malware zijn onafhankelijk van elkaar ontwikkeld, voordat er wordt vastgeschroefd op de belangrijkste lading. Sommige van deze componenten en implantaten hebben tijdstempels dateert van 2016.
“Technisch bewijs is vaak niet genoeg om goed te begrijpen van een cyber aanval, als het niet alle stukken van de puzzel,” zegt Christiaan Beek, McAfee senior principal engineer en een wetenschapper. “De toegang tot de tegenstander command-and-control-server code is een zeldzame kans. Deze systemen bieden van inzicht in de innerlijke werking van cyberaanval infrastructuur, zijn meestal in beslag genomen door de handhaving van de wet, en slechts zelden beschikbaar in de particuliere sector, onderzoekers.”
Vorige en aanverwante dekking
Dow Jones volglijst van hoog-risico-financiële verbindingen gelekt online
Detailhandel verdraagt de nieuwe point-of-sale cybercrime spree
Gerichte malware-aanvallen tegen Elasticsearch servers surge
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters