Πέντε Κινέζοι hackers, που λέγεται ότι ανήκουν στην APT41, ήρθαν αντιμέτωποι αυτή την εβδομάδα με κατηγορίες του Υπουργείου Δικαιοσύνης των ΗΠΑ. Οι αμερικανικές αρχές κατηγόρησαν τους hackers για μακροχρόνιες επιθέσεις σε περισσότερες από 100 εταιρείες. Λέγεται ότι οι hackers χρησιμοποίησαν phishing emails και πραγματοποίησαν “supply chain” επιθέσεις για να κλέψουν δεδομένα από εταιρείες και πελάτες. Ένα από τα φερόμενα μέλη της APT41 υπήρξε ιδιοκτήτης μιας κινεζικής εταιρείας που παρείχε υπηρεσίες antivirus.
Οι Κινέζοι hackers ανήκουν στην κρατική hacking ομάδα “APT41” (γνωστή και ως “Barium“, “Winnti“, “Wicked Panda” και “Wicked Spider“) και αποκτούσαν πρόσβαση στις εταιρείες-στόχους με στόχο να κλέψουν τον source code και πολλά άλλα δεδομένα.
Οι hackers της APT41 είναι ιδιαίτερα δραστήριοι εδώ και πολλά χρόνια. Η εταιρεία ασφαλείας FireEye έχει χαρακτηρίσει τις επιθέσεις της ομάδας ως “μια από τις ευρύτερες εκστρατείες κατασκοπείας από Κινέζους hackers“.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, η APT41 έκρυβε το κακόβουλο λογισμικό σε ψεύτικα βιογραφικά που στάλθηκαν σε στόχους. Επίσης, πραγματοποιούσε πιο περίπλοκες supply chain επιθέσεις (παραβίαζαν εταιρείες παροχής λογισμικών και άλλαζαν το software τροποποιώντας τον κώδικα με malware).
“Η εταιρεία λογισμικού – αγνοώντας τις αλλαγές στο προϊόν της, διανέμει το τροποποιημένο λογισμικό στους πελάτες, οι οποίοι με αυτόν τον τρόπο εγκαθιστούν το κακόβουλο λογισμικό στους δικούς τους υπολογιστές“, εξηγούν τα έγγραφα του δικαστηρίου.
Όπως είπαμε και πιο πάνω, ένας από τους άνδρες που λέγεται ότι ανήκει στην APT41, ο 35χρονος Tan DaiLin, είχε απασχολήσει το KrebsOnSecurity και το 2012, όταν το site προσπάθησε να ρίξει φως σε ένα κινεζικό προϊόν προστασίας από ιούς, με το όνομα Anvisoft. Εκείνη την εποχή, το προϊόν είχε “επιτραπεί” και είχε χαρακτηριστεί ασφαλές. Ωστόσο, η εταιρεία δεν ανταποκρινόταν στα παράπονα των χρηστών και σε ερωτήσεις σχετικά με την ηγεσία και την προέλευσή της.
Η Anvisoft είχε πει ότι εδρεύει στην Καλιφόρνια και τον Καναδά. Ωστόσο, οι ερευνητές ανακάλυψαν ότι το εμπορικό σήμα της εταιρείας εμφανίστηκε σε αρχεία καταχώρησης εμπορικών σημάτων στο Chengdu στην επαρχία Sichuan της Κίνας.
Ένας λεπτομερής έλεγχος στο website της Anvisoft έδειξε ότι το domain της εταιρείας δημιουργήθηκε αρχικά από τον Tan DaiLin, έναν γνωστό Κινέζο hacker, που χρησιμοποιούσε τα ψευδώνυμα “Wicked Rose” και “Withered Rose“.
Αυτή η ιστορία έφερε στο φως μια αναφορά της iDefense από το 2007, στην οποία περιγράφεται λεπτομερώς ο ρόλος του DaiLin ως ηγέτη μιας κρατικής hacking ομάδας τεσσάρων ατόμων. Το όνομα της ομάδας ήταν NCPH (συντομογραφία του Network Crack Program Hacker). Σύμφωνα με την iDefense, το 2006 η συγκεκριμένη ομάδα είχε δημιουργήσει ένα rootkit που εκμεταλλεύτηκε μια zero-day ευπάθεια στο Microsoft Word και χρησιμοποιήθηκε σε επιθέσεις σε εταιρείες των ΗΠΑ.
Σύμφωνα με το krebsonsecurity, κατά την πρώτη ανάλυση του Anvisoft στο Virustotal.com το 2012, κανένα από τα προϊόντα προστασίας από ιούς δεν το εντόπισε ως ύποπτο ή κακόβουλο. Ωστόσο, τις επόμενες μέρες, πολλά προγράμματα εντόπισαν τουλάχιστον δύο trojans που είχαν σχεδιαστεί για να κλέβουν κωδικούς πρόσβασης από διάφορες online gaming πλατφόρμες.
Σύμφωνα με τους ερευνητές ασφαλείας και τους Αμερικανούς εισαγγελείς, η APT41 δημιουργεί συχνά προϊόντα (όπως το Anvisoft του DaiLin) που φαίνονται νόμιμα, ενώ στην πραγματικότητα μολύνουν τα θύματα.