Utætheder offentliggøre kildekoden af Iranske hacking værktøjer
APT34 hacking værktøjer og offer data lækket på en hemmelighedsfuld Telegram kanal siden sidste måned.
Som kollega ZDNet forfatter Andrada Fiscutean skrev engang i efteråret 2017: “Spies hack. Men det bedste spioner hack andre spioner.”
At historien drejede sig om en Virus Bulletin 2017 tale beskriver flere mystiske sager, hvor APTs (advanced persistent threats, en teknisk term, der anvendes til at beskrive offentligt støttede hacking enheder), viste sig at havde kompromitteret infrastruktur af andre APTs, enten ved et uheld eller forsætligt.
Artiklen er nævnt, hvordan to nordkoreanske APTs hacket af den samme “iscenesættelse” server til at iværksætte angreb mod deres mål, men uden tilsyneladende at have kendskab til hinandens tilstedeværelse på det samme system.
Og det er også nævnt af en mystisk Kinesisk APT at hacket kontrol panel af kommando og kontrol (C&C) – servere, der drives af en russisk APT (Crouching Yeti, DragonFly) til at indsætte en skjult tracking pixel på skærmen, hver gang russisk operatører er logget ind på deres konti til at iværksætte angreb.
En ny forekomst af “spioner hack andre spioner”
Men i dag, i en rapport udgivet af Symantec og deles med ZDNet, USA-baseret it-sikkerhed selskabet sagde, at det fandt en anden sag om et lands APT hacking i infrastruktur i et andet land, er APT.
Den ene gør alt hacking er en APT kendt som Turla, der er knyttet til Ruslands regering i næsten to årtier.
Den Turla APT er berygtet for tidligere operationer, der synes at være trukket ud af Hollywood-film. Gruppen har været kendt for at kapre og bruge kommunikationssatellitter til at levere malware til fjerntliggende områder af kloden, har udviklet malware, der gemte sin kontrol mekanisme inde kommentarer på Britney Spears’ Instagram fotos, og har kapret infrastruktur i hele Internetudbydere til at omdirigere brugere til malware.
Et af de mere nylige hacking kampagner, som beskrevet i ESET og Kaspersky rapporter, der er involveret brug af en ny og utrolig smarte type bagdør for Microsoft Exchange email-servere, kaldet LightNeuron (Symantec kodenavn: Neptun).
Turla hacket APT34 i slutningen af 2017
Under behandlingen af denne kampagne for sin egen rapport, Symantec sagde, at det har fundet beviser for, at engang i November 2017, Turla APT (som Symantec kalder Waterbug) havde hacket sig ind i server-infrastrukturen i en Iransk APT kendt som APT34 (også kendt som Oilrig eller Crambus).
Ifølge Symantec, Turla anvendes APT34 kommando-og kontrol-servere til slip malware på computere, der allerede er inficeret med Oilrig hacking værktøjer.
“Den første gang blev observeret bevis for [Turla] aktivitet kom på 11 januar 2018, når en [Turla]-forbundet værktøj (en opgave scheduler ved navn msfgi.exe) var faldet på en computer, på ofrets netværk,” sagde Symantec.
Den næste dag, den januar 12, Turla gruppe anvendes APT34 netværk igen, falder yderligere malware på andre computere, tidligere kompromitteret af APT34. Offeret var en mellemøstlig regering, ifølge Symantec.
Billede: Symantec
Det ser ud til, at APT34 operatører ikke registrerer indtrængen.
“Vi har ikke nogen dokumentation for, at [Oilrig] reagerede overtagelsen,” Alexandrea Berninger, en Senior Cyber Intelligence Analytiker til Symantec er Lykkedes Modstanderen og Threat Intelligence (MATI) team, fortalte ZDNet via e-mail.
“Men vi har beviser, der tyder på, at [Oilrig] forblev aktiv i den offentlige virksomheds netværk gennem mindst slutningen af 2018 hjælp andre kommando-og kontrol-infrastruktur,” sagde hun.
Og Turla ‘ s tilstedeværelse på det samme netværk også fortsat, i hvert fald indtil September 2018, når Symantec sidst så aktivitet fra russiske hackere.
Den APT34 utætheder
Men Turla hack af APT34 infrastruktur var ikke APT34 er kun lækage. I hele Marts og April i år, en mystisk gruppe af hackere har forsøgt at sælge og har udgivet kildekoden til flere APT34 hacking værktøjer.
Det gør en spekulerer på, om dem, der er lækker den APT34 værktøjer er ikke Turla eller en kollega russiske efterretningstjeneste.
“Der er ikke nogen beviser, der kunne pege i denne retning,” Berninger fortalte ZDNet.
“Dog kan utætheder gøre tyder på, at [APT34 s] – infrastruktur kan have været udsatte til at gå på kompromis, hvilket betyder, at det muligvis var en forholdsvis enkel omdirigering til [Turla] for at bruge [APT34 s] infrastruktur.”
Symantec ‘ s rapport om de seneste Turla (Waterbug) hacking er en kampagne som vil blive frigivet senere i dag. Vi vil opdatere dette afsnit med et link til rapporten, når det går forbudt.
Relaterede malware og it-kriminalitet dækning:
Nye Echobot malware er et smorgasbord af vulnerabilitiesFlorida city betaler $600.000 til ransomware gang at have sine data backRansomware stopper produktionen for dage ved større fly dele manufacturerMysterious Iranske gruppe er hacking ind i DNA sequencersNew Plurox malware er en bagdør, cryptominer, og orm, alt sammen pakket ind i oneMicrosoft advarer Azure kunder af Exim orm Mere end 3B falske e-mails, der sendes dagligt som phishing-angreb fortsætter TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre