för Zero Day
| 23 November 2019 — 08:00 GMT (08:00 GMT)
| Ämne: Säkerhet
Kinesiska it-säkerhet säljaren Qihoo 360 publicerade en rapport på fredagen utsätta en omfattande dataintrång operation riktad mot landet i Kazakstan.
Mål för individer och organisationer som omfattar alla områden av livet, som till exempel statliga myndigheter, militär personal, utländska diplomater, forskare, journalister, privata företag, utbildningssektorn, religiösa figurer, regeringen oliktänkande och utländska diplomater som är likadana.
Kampanjen, Qihoo 360 sade, var bred, och verkar ha utförts av ett hot aktör med betydande resurser, och som hade förmågan att utveckla sin egen hackerverktyg, köpa dyra spionprogram av övervakning marknaden, och även investera i radio avlyssning hårdvara.
Tecken pekar på att vissa attacker förlitat sig på att skicka mål noggrant utformad för e-post som transporterar skadliga bilagor (spear-phishing), medan andra har förlitat sig på att få fysisk åtkomst till enheter, vilket tyder på användning av på-plats-soldater utplacerade i Kazakstan.
Träffa Golden Falcon
Qihoo forskare som heter gruppen bakom detta omfattande kampanj för Golden Falcon (eller APT-C-34). Den Kinesiska säkerhet säljaren hävdade gruppen var ny, men när ZDNet nått ut till Kaspersky, vi fick höra Golden Falcon verkar vara ett annat namn för DustSquad, en cyber-spionage enhet som har varit aktiv sedan 2017.
Den enda rapport om sina tidigare hacking verksamheten går tillbaka till 2018 när den ses med hjälp av spear-phishing e-post att leda användare till skadlig programvara-fast version av Telegram.
Precis som dokumenterade attacker av Qihoo denna vecka, 2018 attacker också fokuserat på att Kazakstan men hade använt en annan malware stam.
Qihoo nya rapport bygger främst på uppgifter som den Kinesiska företag som erhålls efter det fick tillgång till en av Golden Falcon ‘ s command and control (C&C) server, varifrån de hämtas operativa uppgifter om koncernens verksamhet.
Här, den Kinesiska företaget sa att det finns uppgifter som hämtats från infekterade offer. Insamlade data som är involverade i första hand office-dokument, tas från hackade datorer.
Alla stulna information arrangerades i per-city mappar, med varje stad mapp som innehåller uppgifter om varje infekterad värd. Forskarna sade att de hittat data från offren ligger i Kazakstan 13 största städer, och mer.
Bild: Qihoo 360
Data är krypterad, men forskarna sade att de skulle kunna dekryptera det. Inne fann de också bevis för att Golden Falcon var också att spionera på utländska medborgare i landet-med Qihoo namngivning Kinesiska internationella studenter och Kinesiska diplomater som mål.
Dyra hackerverktyg
Filer på C&C-server som visade vilka typer av hacking verktyg för denna grupp var att använda. Två verktyg som stod ut. Den första var en version av RCS (Remote Control System), ett system för övervakning kit som säljs av italienska säljaren HackingTeam. Den andra var en bakdörr trojan som heter Harpun (Garpun i ryska språket) som verkar ha utvecklats av gruppen själv.
I fråga om användning av RCS, vad som stod ut var att Golden Falcon var med hjälp av en ny version av RCS. Den RCS versionsnummer är viktigt eftersom 2015, en hacker som har överträtts och sedan läckte alla HackingTeam interna filer, inklusive källkoden för RCS.
Vid den tiden, RCS versionsnummer var 9.6. Enligt Qihoo, versionsnumret för RCS fall de som finns i Golden Falcon ‘ s innehav uppgick till 10,3, en nyare version, vilket innebär att den grupp som är mest sannolikt köpte en nyare version av sin distributör.
Men Golden Falcon var också i besittning av en annan potent verktyg. Qihoo säger gruppen var med en unik bakdörr som inte har sett utanför koncernens verksamhet och var troligen deras egen skapelse.
Den Kinesiska säljaren sa att det fått en kopia av detta verktyg är manuell. Det är oklart om de finns manualen på koncernens C&C-server, eller om de fått det från en annan källa. Handboken visar dock att ett väl utvecklat verktyg med en stor uppsättning, i nivå med många av dagens befintliga trojaner.
Bild: Qihoo 360
Funktioner inkluderar:
KeyloggingSteal urklipp dataTake skärmbild av det aktiva fönstret på förutbestämda intervalsList innehållet i en given directoryGet Skype-användarnamn, kontaktlista och chatta historyGet Skype och Google Hangouts kontakter och röst recordingsRecord ljud via mikrofonen, eavesdroppingCopy i en angiven fil från målet computerAutomatically kopiera filer från en flyttbar mediaStore alla avlyssnas data i en krypterad data fil, inuti ett angivet directorySend stulna data till en viss FTP-serverRun ett program eller operativsystem commandDownload filer från en FTP till en specifik directoryRemotely konfigurera och uppdatera componentsReceive data filer från en FTP-och automatiskt extrahera filerna till en viss directorySelf-destruct
De flesta av de funktioner som anges ovan är normen för de flesta high-nivå trojaner, som vanligtvis påträffas i nation-state-nivå it-spionage.
Skadlig kod för mobiltelefoner
Men Qihoo forskarna fann också ytterligare filer, såsom kontrakt, som ska vara undertecknad av den gruppen.
Det är viktigt att påpeka att it-spionage grupper som inte lämnar kontrakt som sitter runt om C&C-servrar. Det är oklart om dessa kontrakt hittades på Golden Falcon C&C-server, eller var hämtade från andra källor. Qihoo inte säga.
En av dessa avtal verkar vara för upphandling av mobila övervaknings-toolkit känd som Pegasus. Detta är en kraftfull mobil hacking verktyg, med Android och iOS versioner som säljs av NSO-Gruppen.
Kontraktet tyder på att kungsörn hade åtminstone visat intresse av att förvärva NSO: s Android-och iOS-övervakning verktyg. Det är oklart om avtalet någonsin färdig med en försäljning, som Qihoo inte hitta några bevis för att UFO: s Pegasus utöver kontraktet.
Bild: Qihoo 360
Antingen sätt, Golden Eagle hade mobile hacka kapacitet. Denna förmåga var som tillhandahålls via Android-malware som tillhandahålls av HackingTeam.
Qihoo sade malware de analyserade ingår 17 moduler med funktioner som sträcker sig från ljud avlyssning till webbläsarens historik, och från att stjäla IM chatt-loggar för att spåra offrets geo-location.
Radio avlyssning hårdvara
En andra uppsättning av kontrakt som visade att Golden Falcon hade också förvärvat inventarier från Yurion, en Moskva-baserade försvar entreprenör som har specialiserat sig på radio övervakning, avlyssning och annan kommunikationsutrustning.
Igen, Qihoo bara delade uppgifter om avtalets existens, men kunde inte säga om utrustningen köps eller används-som sådana resurser utöver de verktyg som står till förfogande för en vanlig internetsäkerhet.
Bild: Qihoo 360
Spåra medlemmar?
Den Kinesiska it-säkerhetsföretaget sade också att det spårat flera Golden Falcon medlemmar genom detaljer kvar i lagliga digitala signaturer, förmodligen finns inne i de avtal som de upptäckte.
Forskarna sade att de spåras fyra Golden Falcon medlemmar och en organisation.
Med hjälp av data som var kvar ocensurerad i en skärmdump som delas av Qihoo, vi kunde spåra en av gruppens medlemmar till en LinkedIn-profil som tillhör en Moskva-baserade programmerare att det Kinesiska företaget beskrivs som “en teknisk ingenjör” för Golden Falcon.
Inga officiella attribution-men gott om teorier
Varken Status eller Kaspersky, som i sin 2018 rapport, att göra något formellt erkännande för denna grupp. Den enda detalj som de två delade var att detta var en rysktalande APT (advanced persistent threat-en teknisk term som används för att beskriva avancerade, nation-state backas hacka enheter).
Under forskning för denna artikel, ZDNet frågade några analytiker för sina åsikter. De vanligaste teorierna som vi fick höra var att det “ser ut” att vara (1) en rysk APT, (2) en kazakisk underrättelsetjänsten att spionera på sina medborgare, (3) en rysk legosoldat gruppen gör on-demand spioneri för den kazakiska regeringen — med de två sista är det vanligaste svaret.
Det bör dock noteras att de argumenten är subjektiva och inte baserad på faktiska betydande bevis.
Användning av HackingTeam övervakning programvara, och utredningen om att köpa NSO Grupp mobile hacka kapacitet visar att detta kan vara, faktiskt, en behörig brottsbekämpande myndighet. Men Qihoo påpekade också att vissa av målen/offer för detta dataintrång kampanjen var också Kinesiska regeringstjänstemän i nordvästra Kina-vilket betyder att om detta var en kazakisk brottsbekämpande organ, då de på allvar överskridit sin behörighet.
Den Qihoo Golden Falcon rapporten finns här, på Kinesiska, och här, översatt med Google Translate. Rapporten innehåller ytterligare teknisk information om skadlig kod som används i dessa attacker, information som vi inte har i vår täckning eftersom det var alltför tekniskt.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Asean
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| 23 November 2019 — 08:00 GMT (08:00 GMT)
| Ämne: Säkerhet