voor Zero Day
| 23 November 2019 — 08:00 GMT (08:00 GMT)
| Onderwerp: Security
Chinese cyber-security-leverancier Qihoo 360 een rapport gepubliceerd op vrijdag blootstellen van een uitgebreide hacken operatie gericht op het land van Kazachstan.
Doelstellingen opgenomen personen en organisaties betrekken van alle lagen van het leven, zoals de overheid, het militaire personeel, buitenlandse diplomaten, onderzoekers, journalisten, particuliere bedrijven, het onderwijs, religieuze figuren, overheid dissidenten, en buitenlandse diplomaten gelijk.
De campagne, Qihoo 360 zei, was breed, en lijkt te zijn uitgevoerd door een bedreiging acteur met een groot aantal bronnen, en één die de mogelijkheid hadden om hun eigen hacking-tools, dure spyware uit het toezicht op de markt, en zelfs investeren in radio communicatie onderschepping hardware.
Tekenen wijzen dat sommige aanvallen gebruikt op verzenden doelstellingen zorgvuldig gemaakte e-mails dragen van schadelijke bijlagen (spear-phishing), terwijl anderen vertrouwden op het krijgen van fysieke toegang tot de apparaten, wat wijst op het gebruik van op-de-grond-agenten ingezet in Kazachstan.
Aan Golden Falcon
Qihoo onderzoekers met de naam van de groep achter deze uitgebreide campagne Golden Falcon (of APT-C-34). De Chinese leverancier van beveiligingsproducten beweerde de groep was nieuw, maar wanneer ZDNet bereikt Kaspersky, kregen we te horen Golden Falcon lijkt een andere naam voor DustSquad, een cyber-spionage entiteit die actief is sinds 2017.
Het enige verslag over zijn vorige hacken operaties data terug te 2018 toen het werd gezien met behulp van spear-phishing e-mails die leiden gebruikers naar een malware-geregen versie van een Telegram.
Net als de aanvallen gedocumenteerd door Qihoo deze week, 2018 de aanvallen waren gericht op Kazachstan, maar had een andere malware-stam.
Qihoo het nieuwe rapport is voornamelijk gebaseerd op gegevens van het Chinese bedrijf verkregen na het toegang gekregen tot een van Golden Falcon ‘ s command and control (C&C) server, waar ze opgehaald operationele gegevens over de activiteiten van de groep.
Hier, de Chinees bedrijf zei dat het gevonden gegevens opgehaald uit de besmette slachtoffers. De verzamelde gegevens zijn voornamelijk office-documenten, genomen van gehackte computers.
De gestolen informatie is geregeld in de per-stad mappen, met elke stad een map met gegevens over elke besmette gastheer. Onderzoekers zeiden dat ze gevonden gegevens van slachtoffers gelegen in Kazachstan 13 grootste steden, en meer.
Afbeelding: Qihoo 360
De gegevens versleuteld was, maar de onderzoekers zeiden dat ze in staat waren om het te ontsleutelen. Binnen, ze vond ook bewijs dat Golden Falcon was ook bespioneren van buitenlanders in het land — met Qihoo de naamgeving van de Chinese internationale studenten en Chinese diplomaten als doelen.
Duur hacking tools
Bestanden op de C&C-server onthuld welke vormen van hacking-tools deze groep werd gebruikt. Twee instrumenten die buiten stond. De eerste was een versie van RCS (Remote Control System), een surveillance kit verkocht door de italiaanse leverancier HackingTeam. De tweede was een trojaans paard met de naam Harpoen (Garpun in de russische taal) die lijkt te zijn ontwikkeld door de groep zelf.
Met betrekking tot het gebruik van RCS, wat opviel was dat Golden Falcon werd een nieuwe versie van de RCS. De RCS versie nummer is belangrijk omdat in 2015, een hacker heeft geschonden en vervolgens lekte al de HackingTeam interne bestanden, inclusief de broncode voor RCS.
Op het moment dat de RCS versie nummer werd 9.6. Volgens Qihoo, het nummer van de versie voor de RCS exemplaren vonden ze in Golden Falcon ‘ s bezit was 10.3 een nieuwere versie, wat betekent dat de groep die het meest waarschijnlijk kocht een nieuwere versie van de distributeur.
Maar Golden Falcon was ook in het bezit van een andere krachtige tool. Qihoo zegt de groep werd met behulp van een unieke achterdeur die nog niet gezien buiten de activiteiten van de groep en was waarschijnlijk hun eigen creatie.
De Chinese verkoper zei dat het bekomen van een afschrift van deze hulpprogramma ‘ s handleiding. Het is onduidelijk of zij de handleiding van de groep, het C&C-server, of als ze verkregen uit een andere bron. De handleiding blijkt echter een goed ontwikkelde tool met een grote feature-set, op een lijn met veel van de huidige top bestaande backdoor trojans.
Afbeelding: Qihoo 360
Kenmerken omvatten:
KeyloggingSteal klembord dataTake screenshot van het actieve venster op vooraf bepaalde intervalsList de inhoud van een bepaald directoryGet Skype login naam, een lijst met contactpersonen en chat bericht historyGet Skype en Google Hangouts contacten en stem recordingsRecord geluid via de microfoon, eavesdroppingCopy een opgegeven bestand van het doel computerAutomatically het kopiëren van bestanden van verwijderbare mediaStore alle onderschepte gegevens in een gecodeerd bestand, binnen een opgegeven directorySend gestolen gegevens naar de opgegeven FTP serverRun een programma of besturingssysteem commandDownload bestanden van een bepaalde FTP in een specifieke directoryRemotely configureren en bijwerken componentsReceive gegevens bestanden van een bepaalde FTP en extraheer automatisch de bestanden naar een opgegeven directorySelf-destruct
De meeste van de hierboven genoemde toepassingen zijn de norm voor de meeste hoog-niveau trojaanse paarden, meestal aangetroffen in landelijk niveau cyber-spionage.
Mobiele malware
Maar Qihoo onderzoekers vonden ook extra bestanden, zoals contracten, zogenaamd ondertekend door de groep.
Het is belangrijk om erop te wijzen dat cyber-spionage groepen niet verlaten contracten zitten rond op de C&C-servers. Het is onduidelijk of deze contracten werden gevonden op de Golden Falcon ‘ s C&C-server, of werden opgehaald uit andere bronnen. Qihoo niet te zeggen.
Een van deze overeenkomsten lijkt te worden voor de aanschaf van een mobiele surveillance toolkit bekend als Pegasus. Dit is een krachtige mobile hacking tool, met Android en iOS versies, verkocht door de NSO-Groep.
De overeenkomst suggereert dat Golden Eagle had, ten minste, interesse getoond in het verwerven van NSO ‘ s Android en iOS surveillance hulpmiddelen. Het is onduidelijk of het contract ooit afgesloten met een verkoop, Qihoo niet enkel bewijs vinden van de NSO ‘ s Pegasus buiten het contract.
Afbeelding: Qihoo 360
Één van beide manier, Golden Eagle heeft een mobiele hacken mogelijkheden. Deze mogelijkheid is beschikbaar via Android-malware geleverd door de HackingTeam.
Qihoo zei de malware waarmee ze geanalyseerd opgenomen 17 modules met functies, variërend van audio afluisteren om de browser geschiedenis bijhouden, en van het stelen van IM chat logs voor het bijhouden van een slachtoffer geo-locatie.
Radio-interceptie hardware
Een tweede set van contracten bleek dat Golden Falcon had ook verworven uitrusting van Yurion, een Moskou-gebaseerde verdediging aannemer die is gespecialiseerd in radio monitoring, afluisteren, en andere communicatie apparatuur.
Nogmaals, Qihoo alleen gedeeld details over de overeenkomst van het bestaan, maar kon niet zeggen wanneer de apparatuur is gekocht of gebruikt wordt — als deze mogelijkheden gaan verder dan de instrumenten van een regelmatige security-software bedrijf.
Afbeelding: Qihoo 360
Het opsporen van de leden?
De Chinese cyber-security bedrijf zei ook dat het opgespoord verschillende Golden Falcon leden door middel van gegevens, die in het legale digitale handtekeningen, vermoedelijk gevonden in de contracten die ze ontdekt hebben.
Onderzoekers zeiden dat ze wisten vier Golden Falcon leden en één organisatie.
Met behulp van gegevens die links ongecensureerde in een screenshot gedeeld door Qihoo, we waren in staat om de nummer één van de groep leden met een LinkedIn profiel die behoren tot een Moskou-gebaseerd programmeur die het Chinese bedrijf wordt beschreven als “een technisch ingenieur” voor Golden Falcon.
Geen officiële naamsvermelding-maar veel theorieën
Noch Qihoo noch Kaspersky, in zijn 2018 rapport, maken een formele toekenning voor deze groep. Het enige detail dat de twee deelden was dat dit was een russisch-sprekende APT (advanced persistent threat-een technische term gebruikt voor het beschrijven van geavanceerde, natie-staat een back-hacking-eenheden).
Tijdens het onderzoek voor dit artikel, ZDNet vroegen het aan een paar analisten voor hun adviezen. De meest voorkomende theorieën we hoorde waren dat dit “lijkt” te zijn (1) een russische APT, (2) een kazachse intelligence agency bespioneren van burgers, (3) een russische huurling groep het doen van on-demand spionage voor de kazachse regering — met de laatste twee zijn de meest voorkomende antwoord.
Echter, opgemerkt moet worden dat deze argumenten zijn subjectief en niet gebaseerd op een werkelijke substantiële bewijs.
Het gebruik van HackingTeam surveillance software, en het onderzoek naar de aankoop van NSO Groep mobile hacking mogelijkheden heeft laten zien dat dit kan, inderdaad, een geautoriseerde politiebureau. Echter, Qihoo ook op gewezen dat een aantal van de doelen/de slachtoffers van hacken campagne werden ook Chinese overheidsfunctionarissen in noord-west China — wat betekent dat als dit was een kazachse politiebureau, dan zijn ze serieus over hun rechtsgebied.
De Qihoo Golden Falcon rapport is hier beschikbaar in het Chinees, en hier vertaald met Google Translate. Het rapport bevat aanvullende technische informatie over de malware gebruikt in deze aanvallen, informatie die we niet in ons dekking, want het was te technisch.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
De Asean
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 23 November 2019 — 08:00 GMT (08:00 GMT)
| Onderwerp: Security