Οι εταιρείες ασφαλείας Talent-Jump και Trend Micro αποκάλυψαν σε εκθέσεις τους, ότι εδώ και περίπου 6 μήνες (από το καλοκαίρι του 2019), μια ομάδα Κινέζων hackers πραγματοποιεί επιθέσεις σε εταιρείες που βρίσκονται πίσω από sites τυχερών παιχνιδιών και στοιχημάτων.
Σύμφωνα με τις εταιρείες, υπάρχουν επιβεβαιωμένα hacks σε εταιρείες τυχερών παιχνιδιών που βρίσκονται στη Νοτιοανατολική Ασία. Επίσης, υπάρχουν φήμες για επιθέσεις σε εταιρείες της Ευρώπης και τη Μέσης Ανατολής. Το τελευταίο δεν είναι σίγουρο.
Τα στοιχεία μέχρι τώρα δείχνουν ότι οι Κινέζοι hackers έχουν κλέψει τις βάσεις δεδομένων και τον source code των εταιρειών και όχι χρήματα. Αυτό σημαίνει ότι δεν υπάρχει οικονομικό κίνητρο. Προφανώς, στόχος των επιθέσεων είναι η κατασκοπεία.
Οι επιθέσεις έχουν πραγματοποιηθεί από μια ομάδα, την οποία οι ερευνητές ονόμασαν DRBControl.
Η Trend Micro ανέφερε ότι τα κακόβουλα προγράμματα και οι τακτικές που χρησιμοποιεί η hacking ομάδα είναι παρόμοια με τα εργαλεία και τις τακτικές των Winnti και Emissary Panda. Πρόκειται για δύο hacking ομάδες που την τελευταία δεκαετία έχουν πραγματοποιήσει πολλές επιθέσεις εκ μέρους της κινεζικής κυβέρνησης.
Δεν γνωρίζουμε ακόμα, αν η DRBControl δουλεύει για το Πεκίνο. Πιθανότατα όχι. Τον Αύγουστο του 2019, η εταιρεία FireEye αποκάλυψε ότι ορισμένες κινεζικές κρατικές ομάδες πραγματοποιούν επιθέσεις και για δικά τους συμφέροντα.
Επιθέσεις της DRBCONTROL
Οι πρόσφατες επιθέσεις της DRBControl δεν είναι ούτε πολύπλοκες ούτε μοναδικές όσον αφορά στις τακτικές που χρησιμοποιούν οι hackers.
Οι επιθέσεις αρχίζουν με ένα spear-phishing email, που στέλνεται στα θύματα. Τα emails περιλαμβάνουν έναν σύνδεσμο. Αν τα θύματα ανοίξουν το σύνδεσμο, θα μολυνθούν με backdoor trojans.
Τα backdoor trojans είναι κάπως διαφορετικά από τα άλλα backdoors, επειδή βασίζονται σε μεγάλο βαθμό στην hosting και sharing υπηρεσία Dropbox, που χρησιμοποιείται ως command-and-control (C&C) υπηρεσία και ως μέσο αποθήκευσης για δευτερεύοντα payloads και κλεμμένα δεδομένα.
Συνήθως, οι Κινέζοι hackers χρησιμοποιούν τα backdoors για να κατεβάσουν άλλα hacking εργαλεία και κακόβουλα προγράμματα, τα οποία θα τα χρησιμοποιήσουν για να βρουν βάσεις δεδομένων και τον source code των sites τυχερών παιχνιδιών.
Εργαλεία που χρησιμοποιεί η DRBControl:
- Εργαλεία για τη σάρωση NETBIOS servers
- Εργαλεία για την πραγματοποίηση brute-force επιθέσεων
- Εργαλεία για την παράκαμψη Windows UAC
- Εργαλεία για την απόκτηση περισσότερων προνομίων στο μολυσμένο σύστημα
- Εργαλεία για την απόκτηση κωδικών πρόσβασης
- Εργαλεία για την κλοπή clipboard δεδομένων
- Εργαλεία για τη φόρτωση και εκτέλεση κακόβουλου κώδικα
- Εργαλεία για την ανάκτηση της δημόσιας διεύθυνσης IP ενός σταθμού εργασίας
- Εργαλεία για την επικοινωνία του δικτύου με εξωτερικά δίκτυα
Η DRBCONTROL έχει μολύνει πολλές εταιρείες που ασχολούνται με τα sites τυχερών παιχνιδιών
Η Talent-Jump κατάφερε να παρακολουθήσει στενά τις δραστηρίοτητες των Κινέζων hackers από τον Ιούλιο μέχρι το Σεπτέμβριο του 2019.
Σε αυτό το διάστημα, οι hackers κατάφεραν να μολύνουν περίπου 200 υπολογιστές εταιρειών τυχερών παιχνιδιών, μέσω ενός λογαριασμού Dropbox και άλλους 80 μέσω ενός δεύτερου λογαριασμού.
Οι επιθέσεις της ομάδας συνεχίζονται και οι δύο εταιρείες ασφαλείας έχουν δημοσιεύσει κάποιες συμβουλές, που μπορούν να βοηθήσουν τους οργανισμούς να ανιχνεύσουν ύποπτες δραστηριότητες ή malware της DRBControl.
Αυτές δεν είναι οι πρώτες επιθέσεις σε sites τυχερών παιχνιδιών. Το 2018, η cybersecurity εταιρεία ESET ανέφερε ότι κρατικές hacking ομάδες της Βόρειας Κορέας είχαν επιτεθεί σε ένα online καζίνο στην Κεντρική Αμερική με σκοπό την κλοπή χρημάτων.
