for Nul-Dag
| November 23, 2019 — 08:00 GMT (08:00 GMT)
| Emne: Sikkerhed
Kinesiske cyber-sikkerhed sælger Qihoo 360 offentliggjort en rapport på fredag udsætter en omfattende hacking operation rettet mod land Kasakhstan.
Mål enkeltpersoner og organisationer, der involverer alle samfundslag, som offentlige organer, militært personel, udenlandske diplomater, forskere, journalister, private virksomheder, den pædagogiske sektor, religiøse figurer, regeringen, oppositionen, og de udenlandske diplomater ens.
Kampagnen, Qihoo 360 sagde, var bred, og ser ud til at have været båret af en trussel aktør med betydelige ressourcer, og en, der havde evnen til at udvikle deres egen hacking værktøjer, købe dyre spyware off overvågning af markedet, og selv investere i radio kommunikation aflytning hardware.
Tegn punkt, at nogle angreb stolede på at sende mål omhyggeligt udformet e-mails, der transporterer skadelige vedhæftede filer (spear-phishing), mens andre stolede på at få fysisk adgang til enheder, hvilket tyder på brugen af on-the-ground-agenter udstationeret i Kasakhstan.
Mød Gyldne Falcon
Qihoo forskere opkaldt gruppen bag denne omfattende kampagne Gyldne Falcon (eller APT-C-34). Den Kinesiske sikkerhed sælgeren hævdede, at gruppen var nyt, men når ZDNet nåede ud til Kaspersky, fik vi at vide, Gyldne Falcon ser ud til at være et andet navn for DustSquad, en cyber-spionage organisation, der har været aktiv siden 2017.
Den eneste rapport, der beskriver dennes tidligere hacking operationer datoer tilbage til 2018, hvor den blev set ved hjælp af spyd-phishing-e-mails, der fører brugerne til en malware-snøret version af Telegrammet.
Ligesom de angreb, der er dokumenteret ved Qihoo i denne uge, 2018 angreb også fokuseret på, Kasakhstan, men havde brugt et andet malware stamme.
Qihoo s nye rapport er primært baseret på data for det Kinesiske selskab opnået, efter at den har fået adgang til en af Gyldne Falcon ‘ s kommando og kontrol (C&C) server, hvorfra de hentede operationelle data om gruppens aktiviteter.
Her det Kinesiske firma sagde, at det findes data, der er hentet fra inficerede ofre. Der er indsamlet data, der er involveret primært office-dokumenter, der er taget fra hackede computere.
Alle de stjålne oplysninger blev arrangeret i pr-byen mapper, med hver by mappe, der indeholder data om hver inficeret host. Forskere siger, at de fundne data fra ofre, der ligger i Kasakhstan 13 største byer og meget mere.
Billede: Qihoo 360
De data, der var krypteret, men forskerne sagde, at de var i stand til at dekryptere den. Inde, har de også fundet beviser på, at Golden Falcon var også udspionerer udenlandske statsborgere i landet-med Qihoo navngivning Kinesiske internationale studerende og Kinesiske diplomater som mål.
Dyre hacking værktøjer
Filer på C&C server afsløret, hvilke typer af hacking-værktøjer denne gruppe var i brug. To værktøjer, der stod ud. Den første var en version af RCS (Remote Control System), er en overvågning kit, der sælges af italienske leverandør HackingTeam. Den anden var en backdoor trojan ved navn Harpun (Garpun i det russiske sprog), der synes at have været udviklet af gruppen selv.
Med hensyn til brug af RCS, hvad der skilte sig ud var, at Golden Falcon var ved hjælp af en ny version af RCS. RCS version nummer er vigtigt, da det i 2015, kan en hacker overtrådt, og så lækket alle HackingTeam interne filer, herunder kildekoden for RCS.
På det tidspunkt, RCS version nummer blev 9.6. Ifølge Qihoo, versionsnummeret for RCS tilfælde fandt de i Golden Falcon ‘ s besiddelse, blev 10.3, en nyere version, hvilket betyder, at koncernen sandsynligvis har købt en nyere version fra sin forhandler.
Men Golden Falcon var også i besiddelse af en anden potent værktøj. Qihoo siger, at gruppen var ved hjælp af en unik bagdør, der ikke har været set uden for koncernens aktiviteter og var sandsynligvis deres egen skabelse.
Den Kinesiske leverandør sagde, at den havde fået en kopi af dette værktøj ‘ s manual. Det er uklart, om de fandt manualen på koncernens C&C server, eller hvis de har fået det fra en anden kilde. Manualen viser imidlertid, at et veludviklet værktøj med et stort indslag-sæt, på højde med mange af nutidens top eksisterende bagdør trojanske heste.
Billede: Qihoo 360
Funktioner omfatter:
KeyloggingSteal udklipsholder dataTake skærmbillede af det aktive vindue på forhånd fastsatte intervalsList indholdet af en given directoryGet Skype-navn, din liste over kontaktpersoner, og chat besked historyGet Skype og Google Hangouts kontakter og stemme recordingsRecord lyd via mikrofonen, eavesdroppingCopy en bestemt fil fra målet computerAutomatically kopiere filer fra flytbare mediaStore alle opsnappet data på en krypteret data-fil, i et specificeret directorySend stjålne data til en bestemt FTP serverRun et program eller operativsystemet commandDownload filer fra en bestemt FTP til en bestemt directoryRemotely konfigurere og opdatere componentsReceive data filer fra en bestemt FTP og automatisk udpakke filer til en bestemt directorySelf-destruct
De fleste af de funktioner, der er anført ovenfor, er normen for de fleste højt niveau bagdør trojanske heste, normalt stødt på i nation-state niveau cyber-spionage.
Mobile malware
Men Qihoo forskerne fandt også yderligere filer, såsom kontrakter, angiveligt underskrevet af gruppen.
Det er vigtigt at påpege, at cyber-spionage grupper ikke forlade kontrakter, der sidder rundt om C&C servere. Det er uklart, om disse kontrakter blev fundet på Golden Falcon ‘ s C&C server, eller blev hentet fra andre kilder. Qihoo ikke sige.
En af disse aftaler synes at være til indkøb af en mobil overvågning toolkit kendt som Pegasus. Dette er en kraftfuld mobil hacking værktøj, med Android-og iOS-versioner, der sælges af NSO-Gruppen.
Den kontrakt, der tyder på, at Golden Eagle havde, i det mindste, har vist interesse i at overtage NSO ‘ s Android-og iOS-overvågning værktøjer. Det er uklart, om den kontrakt nogensinde blev afsluttet med et salg, som Qihoo ikke finde nogen beviser på UFO ‘ s Pegasus ud over kontrakten.
Billede: Qihoo 360
Enten måde, Golden Eagle har mobile hacking kapaciteter. Denne evne blev leveret via Android-malware, der leveres af HackingTeam.
Qihoo sagde malware de analyserede omfattede 17 moduler med funktioner lige fra lyd aflytning til browser historie tracking, og fra at stjæle IM chat logs for sporing af et offer geo-location.
Radio aflytning hardware
Et andet sæt af kontrakter, der viste, at Golden Falcon havde også fået udstyr fra Yurion, en Moskva-baserede forsvar, entreprenør, der er specialiseret i radio-overvågning, aflytning og andet kommunikationsudstyr.
Igen, Qihoo kun delt detaljer om aftalens eksistens, men kunne ikke sige, om udstyret blev købt eller brugt-som sådan kapacitet ud over de værktøjer, der er til rådighed for en regelmæssig sikkerhed software-virksomhed.
Billede: Qihoo 360
Tracking ned medlemmer?
Den Kinesiske cyber-sikkerhed firma også sagde, at det opsporet flere Gyldne Falcon medlemmer, der gennem detaljer, venstre på lovlige digitale signaturer, angiveligt fundet i de kontrakter, de har opdaget.
Forskere siger, at de spores fire Gyldne Falcon medlemmer og én organisation.
Ved hjælp af data, der var tilbage ucensureret i et skærmbillede, der er delt af Qihoo, vi var i stand til at spore en af gruppens medlemmer, at en LinkedIn-profil, der tilhører en Moskva-området-baseret programmør, at den Kinesiske virksomhed, der er beskrevet som “en teknisk ingeniør” for Golden Falcon.
Ingen officielle attribution-men masser af teorier
Hverken Intel eller Kaspersky, i sin 2018 rapport, foretage formelle attribution for denne gruppe. Den eneste detalje, at de to fælles var, at dette var en russisk-talende APT (advanced persistent threat-en teknisk term, der anvendes til at beskrive avanceret nation-stat støttet hacking enheder).
Under research til denne artikel, ZDNet spurgte et par analytikere for deres udtalelser. De mest almindelige teorier, vi hørte, var, at dette “udseende” for at være (1) en russisk APT, (2) en kasakhiske intelligence agency udspionerer sine borgere, (3) en russisk lejesoldat gruppe laver on-demand-spionage for den kasakhiske regering-med de to sidste er de mest almindelige svar.
Det bør dog bemærkes, at disse argumenter er subjektive, og som ikke er baseret på faktiske omfattende dokumentation.
Brug af HackingTeam overvågning software, og undersøgelsen til at købe NSO Gruppe mobile hacking kapaciteter viser, at dette kunne være, ja, en autoriseret lov håndhævelse agenturet. Men, Qihoo påpegede også, at nogle af de mål/ofre af denne hacking kampagnen var også Kinesiske embedsmænd i nord-vest-Kina-hvilket betyder, at hvis dette var en kasakhiske lov håndhævelse agenturet, så de alvorligt overskredet deres kompetence.
Den Qihoo Gyldne Falcon rapport er tilgængelig her, på Kinesisk, og her, oversat med Google Translate. Rapporten indeholder yderligere tekniske oplysninger om den malware, der anvendes i disse angreb, oplysninger, som vi ikke har i vores dækning, fordi det var alt for teknisk.
Sikkerhed
Chrome, Edge, Safari hacket på elite Kinesisk hacking contest
Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora
Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Asean
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 23, 2019 — 08:00 GMT (08:00 GMT)
| Emne: Sikkerhed