Hög profil organisationer inom teknik, transport-och försvarsindustrin särskilt med länkar till sjöfartssektorn, blivit måltavla för en statligt stöd Kinesisk hacka drift, enligt säkerhetsföretaget forskare.
Cyber-spionage-kampanj har varit ingående av säkerhetsföretaget FireEye, vilket har märkts gruppen Advanced Persistent Threat (APT) på 40 eller mer vardagligt, Periskop.
Gruppen har varit aktiv sedan åtminstone januari 2013. Den främsta mål verkar vara att AMERIKANSKA företag inom teknik, transport och försvar – även om det har riktat sig till andra organisationer runt om i världen. Koncernen har också riktat universitetets forskningsavdelningar fokus på maritima frågor, något som forskarna anser vara kopplad till Kinas önskan att bygga upp sin flotta.
Koncernen har också riktat mot företag som är verksamma i sydkinesiska Havet – en strategiskt viktig region och den inriktning av tvister mellan Kina och andra stater.
Det sätt som gruppen väljer sina mål tillsammans med andra faktorer har lett FireEye att staten med “högt förtroende” att APT40 aktivitet är en stat med bakomliggande it-spionage-gruppen. De tider på dagen som koncernen är aktiv visar också att det är baserat nära Beijing och koncernen har enligt uppgift används skadlig kod som har observerats i andra Kinesiska verksamheten, vilket tyder på en viss nivå av samarbete.
SE: Cyberkrig prognoser för 2019: insatserna har höjts
Forskarna konstaterar också att den inriktning av sjö -, teknik-och transportindustrin i linje med Kinas ‘Bälte och Väg-Initiativ” som syftar till att utveckla Kinesisk infrastruktur i länder runt om i världen.
Länder, bland annat Kambodja, Belgien, Tyskland, Hong Kong, Filippinerna, Malaysia, Norge, Saudiarabien, Schweiz, USA och STORBRITANNIEN, har alla varit riktade attacker, varnar forskare.
Periscope verksamhet har tidigare varit misstänkt för att vara knutet till Kina, men nu FireEye har byggt upp ett fall som de tror nästan säkert länkar verksamheten till den Kinesiska staten.
APT40 beskrivs en “måttligt sofistikerade it-spionage-gruppen” som kombinerar tillgång till “betydande” utvecklingsresurser med möjlighet till inflytande, allmänt tillgängliga verktyg som har blivit en stapelvara för några hacka grupper, eftersom de kan göra det lättare att dölja hacka aktivitet.
Som många spionage kampanjer, mycket av APT40: s verksamhet börjar med att försöka lura mål med phishing e-post, innan du distribuerar skadlig programvara såsom Gh0st RÅTTA trojan för att upprätthålla uthållighet på en nedsatt nätverk.
Koncernen har också använder webbplatsen och webbserver som ett sätt att attackera och dra nytta av det som beskrivs som en “enorm” bibliotek av verktyg som en del av kampanjer, inklusive bedrifter dra nytta av kända CVE sårbarheter i mjukvara.
När du är inne i ett nätverk, APT40 använder autentiseringsuppgifter skörd verktyg för att få användarnamn och lösenord, som gör det möjligt att utöka sin räckvidd över nätverket och flytta i sidled genom en miljö som det går att mot det slutliga målet, att stjäla data.
Trots det huvudsakliga målet med kampanjen är spionage, forskarna notera att APT40 är fortfarande aktiv trots ökad uppmärksamhet läggs på sin verksamhet och som koncernen kommer fortsätta att vara så under lång tid framöver.
Rapporten om APT40 avslutar med en varning: koncernen kommer att sträva efter att utvidga sin verksamhet till ytterligare sektorer som anses vara viktiga för Bälte och Road initiativ, så det är osannolikt att den sista de hörde från.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Kina anklagas för stöld av data från US Navy contractorCyberwar: En lathund för affärsmän [TechRepublic]It-spionage varning: Den mest avancerade dataintrång grupper blir mer ambitiousUS avgifter Kinesiska hackare med massiv stöld “från NASA, Marinen och tech-sektorn [MAG]Mystiska it-spionage kampanj använder “torped” som lockbete för att lura dig till att hämta skadlig kod
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter