per Zero-Day
| 23 novembre 2019 — 08:00 GMT (08:00 GMT)
| Argomento: Sicurezza
Cinese cyber-security vendor Qihoo 360 ha pubblicato un rapporto sul venerdì di esporre una vasta operazione di hacking targeting la nazione del Kazakistan.
Obiettivi inclusi gli individui e le organizzazioni che coinvolgono tutti i settori della vita, come le agenzie governative, militari, diplomatici stranieri, ricercatori, giornalisti, aziende private, il settore dell’istruzione, figure religiose, il governo dissidenti, e diplomatici stranieri turisti.
La campagna, Qihoo 360, ha detto, era largo, e sembra essere stato trasportato da una minaccia attore con notevoli risorse, e uno che ha avuto la capacità di sviluppare il loro privato, strumenti di hacking, acquistare costosi spyware disattivare la sorveglianza del mercato, e anche investire nelle comunicazioni radio intercettazione hardware.
Segni punto che alcuni attacchi invocata l’invio di obiettivi predisposto con cura le e-mail contenenti allegati dannosi (spear-phishing), mentre altri invocata l’accesso fisico ai dispositivi, suggerendo l’uso di on-the-ground cooperative distribuite in Kazakhstan.
Incontrare Il Falco D’Oro
Qihoo ricercatori denominato il gruppo dietro a questa vasta campagna Falco d’Oro (o APT-C-34). Il Cinese fornitore di sicurezza rivendicato il gruppo era nuovo, ma quando ZDNet ha raggiunto Kaspersky, ci è stato detto Falco d’Oro sembra essere un altro nome per DustSquad, un cyber-spionaggio entità che è stata attiva dal 2017.
L’unica relazione che illustra le sue precedenti operazioni di hacking risale al 2018, quando è stato visto utilizzando spear-phishing, che portano gli utenti ad un malware-cucita versione di Telegramma.
Proprio come gli attacchi documentati da Qihoo di questa settimana, il 2018 attacchi concentrati anche sul Kazakistan, ma aveva utilizzato un diverso malware ceppo.
Qihoo il nuovo rapporto si basa principalmente sui dati della società Cinese, ottenuto dopo aver ottenuto l’accesso a uno di Falco d’Oro di comando e controllo (C&C) server, da dove avevano recuperato i dati operativi sulle attività del gruppo.
Qui, la ditta Cinese ha trovato i dati recuperati da infettati vittime. I dati raccolti sono coinvolti principalmente i documenti di office, preso da violato i computer.
Tutte le informazioni rubate è stato organizzato per la città di cartelle, con ogni città cartella contenente i dati di ogni ospite infetto. I ricercatori hanno detto che hanno trovato i dati da vittime situato in Kazakhstan 13 grandi città, e di più.
Immagine: Qihoo 360
I dati crittografati, ma i ricercatori hanno detto che erano in grado di decifrare. All’interno, hanno anche trovato prove che il Falco d’Oro è stato anche di spiare i cittadini stranieri nel paese-con Qihoo denominazione Cinese studenti internazionali e diplomatici Cinesi come bersagli.
Costosi strumenti di hacking
I file sul server C&C ha rivelato quali tipi di strumenti di hacking questo gruppo è stato in uso. Due strumenti distinti. Il primo è una versione di RCS (Remote Control System), un sistema di sorveglianza kit venduto da un venditore italiano HackingTeam. Il secondo era un backdoor trojan denominato Rampone (Garpun in lingua russa), che sembra essere stato sviluppato dal gruppo stesso.
Con riferimento all’utilizzo di RCS, che si trovava fuori era che il Falco d’Oro è una nuova versione di RCS. RCS numero di versione è importante perché, nel 2015, un hacker ha violato e poi trapelato tutti i HackingTeam interno di file, compreso il codice sorgente per RCS.
Al momento, la RCS numero di versione è stata di 9,6. Secondo Qihoo, il numero di versione per la RCS istanze hanno trovato il Falco d’Oro in suo possesso è stata del 10,3, una versione più recente, il che significa che il gruppo più probabile comprato una versione più recente dal suo distributore.
Ma Falco d’Oro era anche in possesso di un altro potente strumento. Qihoo, dice che il gruppo è stato l’utilizzo di un backdoor che non è stato visto al di fuori dell’attività del gruppo, e molto probabilmente la loro stessa creazione.
Il venditore Cinese ha detto, ha ottenuto una copia di questo strumento manuale. Non è chiaro se hanno trovato il manuale del gruppo C&C server, o se proveniente da un’altra fonte. Il manuale, tuttavia, mostra un ben sviluppato strumento con un ampio set di funzionalità, al pari di molti dei top di oggi esistente backdoor trojan.
Immagine: Qihoo 360
Le caratteristiche includono:
KeyloggingSteal appunti dataTake screenshot della finestra attiva, secondo intervalsList il contenuto di un determinato directoryGet Skype nome di login, un elenco di contatti e messaggi di chat historyGet Skype e Google Hangout contatti e voce recordingsRecord suono tramite microfono, eavesdroppingCopy un file specificato dal target computerAutomatically copiare i file dal rimovibile mediaStore tutti intercettati dati crittografati file di dati, all’interno di un specificato directorySend dati rubati da un FTP specificato serverRun un programma o sistema operativo commandDownload file da un dato FTP in una specifica directoryRemotely riconfigurare e aggiornamento componentsReceive file di dati da un dato FTP e di estrarre automaticamente i file in una determinata directorySelf-destruct
La maggior parte delle caratteristiche di cui sopra sono la norma per la maggior parte di alto livello backdoor trojan, di solito incontrate a livello di stato-nazione cyber-spionaggio.
Il malware Mobile
Ma Qihoo ricercatori hanno anche scoperto che il file aggiuntivi, come i contratti, presumibilmente firmato dal gruppo.
È importante sottolineare che il cyber-spionaggio gruppi di non lasciare contratti seduti intorno a C&C server. Non è chiaro se questi contratti sono stati trovati Falco d’Oro C&C server, o sono stati recuperati da altre fonti. Qihoo non dire.
Uno di questi contratti sembra essere per l’acquisto di un mobile di sorveglianza toolkit noto come Pegasus. Questo è un cellulare potente strumento di hacking, con Android e iOS versioni, venduto da NSO Gruppo.
Il contratto suggerisce che il Golden Eagle aveva, almeno, mostrato interesse per l’acquisizione di NSO Android e iOS strumenti di sorveglianza. Non è chiaro se il contratto è stato mai completato con una vendita, come Qihoo non ha trovato alcuna prova di NSO Pegasus al di là del contratto.
Immagine: Qihoo 360
In ogni modo, l’Aquila reale ha avuto mobile hacking capacità. Questa capacità è stata fornita tramite malware Android forniti dal HackingTeam.
Qihoo ha detto che il malware sono stati inclusi 17 moduli con funzionalità che vanno dalla audio di intercettazioni per la cronologia di navigazione di monitoraggio e rubare IM chat log di tracciamento di una vittima di geo-localizzazione.
Radio intercettazione hardware
Una seconda serie di contratti di ha mostrato che il Falco d’Oro aveva acquisito anche attrezzature da Yurion, una Mosca della difesa che si è specializzato in radio il monitoraggio, intercettazioni, e di altre apparecchiature per le comunicazioni.
Di nuovo, Qihoo ha condiviso solo dettagli sul contratto di esistenza, ma non poteva dire se l’apparecchio è stato acquistato o usato — come tale capacità di andare oltre gli strumenti a disposizione di un normale software di sicurezza della società.
Immagine: Qihoo 360
Rintracciare i membri?
Il Cinese di cyber-sicurezza ditta ha anche detto che ha rintracciato diversi Falco d’Oro membri attraverso dettagli giuridici delle firme digitali, avrebbe trovato all’interno i contratti hanno scoperto.
I ricercatori hanno detto che hanno rintracciato quattro Falco d’Oro i membri di una stessa organizzazione.
Utilizzando i dati che è stato lasciato senza censure in una schermata condivisa da Qihoo, siamo stati in grado di tenere traccia di uno dei membri del gruppo, per il profilo LinkedIn appartenendo a una Mosca area-a base di programmatore che la ditta Cinese descritto come un “ingegnere tecnico” per il Falco d’Oro.
Nessun ufficiale attribuzione-ma un sacco di teorie
Né Qihoo né Kaspersky, nella sua 2018 report, fare una formale attribuzione di questo gruppo. L’unico dettaglio le due condivisa era che questa era una di lingua russa APT (advanced persistent threat — un termine tecnico usato per descrivere avanzata, di una nazione-stato eseguito hacking unità).
Durante le ricerche per questo articolo, ZDNet ha chiesto un paio di analisti per le loro opinioni. I più comuni teorie che abbiamo sentito erano che questo “sembra” essere (1) russo APT, (2) un kazako agenzia di intelligence di spiare i suoi cittadini, (3) un russo gruppo di mercenari fa su richiesta di una spia per il governo kazako-con gli ultimi due sono la risposta più comune.
Tuttavia, va notato che questi argomenti sono soggettivi e non si basa su alcuna reale prova sostanziale.
L’uso di HackingTeam software di sorveglianza, e l’inchiesta acquisto NSO Gruppo mobile hacking capacità dimostrano che questo non potrebbe essere, infatti, autorizzato agenzia di applicazione della legge. Tuttavia, Qihoo ha anche sottolineato che alcuni obiettivi/vittime di questo hacking campagna erano anche funzionari del governo Cinese, nella parte nord-ovest della Cina, il che vuol dire che se questo era un kazako agenzia di applicazione della legge, quindi sono seriamente oltrepassato i confini della loro giurisdizione.
Il Qihoo Falco d’Oro di report è disponibile qui, in Cinese, e qui tradotto con Google Translate. Il report contiene ulteriori informazioni tecniche circa il malware utilizzato in questi attacchi, informazioni che non abbiamo incluso nella nostra copertura perché era troppo tecnica.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Asean
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 23 novembre 2019 — 08:00 GMT (08:00 GMT)
| Argomento: Sicurezza