Εμπειρογνώμονες ασφαλείας που διερευνούν μία σειρά περιστατικών ransomware σε πολυάριθμες εταιρείες, ανακάλυψαν malware που υποδεικνύει ότι πίσω από τις επιθέσεις βρίσκεται μία hacking ομάδα, η οποία πιστεύεται ότι λειτουργεί για λογαριασμό της Κίνας. Παρόλο που οι επιθέσεις δεν χαρακτηρίζονται από ιδιαίτερη πολυπλοκότητα, υπάρχουν στοιχεία που τις συνδέουν με την APT27 (γνωστή και ως TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger και LuckyMouse), η οποία συνήθως διενεργεί εκστρατείες κατασκοπείας στον κυβερνοχώρο.
Οι επιθέσεις έλαβαν χώρα το 2020 στοχεύοντας τουλάχιστον πέντε εταιρείες στον τομέα των διαδικτυακών τυχερών παιχνιδιών που λειτουργούν παγκοσμίως. Οι χάκερς κατάφεραν να κρυπτογραφήσουν πολλούς servers. Φαίνεται επίσης ότι οι χάκερς χρησιμοποίησαν το BitLocker, το εργαλείο κρυπτογράφησης δίσκου των Windows, για να κρυπτογραφήσουν τους servers.
Επιπλέον, ερευνητές από τις εταιρείες κυβερνοασφάλειας Profero και Security Joes ανταποκρίθηκαν σε αυτά τα περιστατικά και διαπίστωσαν ότι οι χάκερς έφτασαν τους στόχους τους μέσω ενός τρίτου φορέα παροχής υπηρεσιών, ο οποίος είχε «μολυνθεί» μέσω άλλου τρίτου φορέα.
Κατά την ανάλυση των επιθέσεων ανακαλύφθηκαν δείγματα malware που συνδέονται με την DRBControl, μια εκστρατεία που περιγράφηκε από την Trend Micro και αποδίδεται στις APT27 και Winnti. Αυτές οι δύο hacking ομάδες δραστηριοποιούνται τουλάχιστον από το 2010 και συνδέονται με την Κίνα. Η APT27 επικεντρώνεται στον κυβερνοχώρο, ενώ Winnti έχει κυρίως οικονομικά κίνητρα.
Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA
Εκμετάλλευση Ευπαθειών: Απειλές για τη Μονάδα MELSEC
Ρομπότ ανέσυρε ραδιενεργό υλικό από το Fukushima Daiichi
Σε μια κοινή έκθεση που κοινοποίησαν στο BleepingComputer, οι Profero και Security Joes ανέφεραν ότι βρήκαν ένα δείγμα του Clambling backdoor παρόμοιο με αυτό που χρησιμοποιήθηκε στην εκστρατεία DRBControl. Ανακάλυψαν επίσης το ASPXSpy webshell. Μια τροποποιημένη έκδοση αυτού του malware έχει εντοπιστεί στο παρελθόν σε επιθέσεις που αποδίδονται στην APT27.
Ένα ακόμη malware που βρέθηκε σε μολυσμένους υπολογιστές είναι το trojan απομακρυσμένης πρόσβασης PlugX, που αναφέρεται τακτικά σε αναφορές κυβερνοασφάλειας σχετικά με εκστρατείες που συνδέονται με την Κίνα.
Επιπλέον, ερευνητές της Positive Technologies απέδωσαν μια επίθεση του Polar ransomware από τον Απρίλιο του 2020 στην APT27, λαμβάνοντας υπόψη το malware που χρησιμοποιείται συνήθως από αυτήν την ομάδα.
Οι επιθέσεις εναντίον των πέντε εταιρειών στον τομέα των διαδικτυακών τυχερών παιχνιδιών δεν ήταν ιδιαίτερα εξελιγμένες και βασίστηκαν σε γνωστές μεθόδους, προκειμένου οι χάκερς να αποφύγουν τον εντοπισμό και να κινηθούν πλευρικά.
Σύμφωνα με την έκθεση των Profero και Security Joes, οι χάκερς ανέπτυξαν τα PlugX και Clambling malware στη μνήμη του συστήματος χρησιμοποιώντας ένα παλαιότερο Google Updater executable που ήταν ευάλωτο σε DLL side-loading. Επιπλέον, εκμεταλλεύτηκαν μια ευπάθεια (CVE-2017-0213) από το 2017 για να κλιμακώσουν τα προνόμια στον υπολογιστή. Ο κώδικας εκμετάλλευσης για αυτό το σφάλμα είναι διαθέσιμος στο κοινό.
Ο Daniel Bunce, κύριος αναλυτής ασφαλείας της Security Joes, δήλωσε στο BleepingComputer ότι το βασικό συμπέρασμα από αυτές τις επιθέσεις είναι η εμπλοκή μιας ομάδας κατασκοπείας σε μια εκστρατεία που υποκινείται από οικονομικά κίνητρα. Επιπλέον, ο Omri Segev Moyal, Διευθύνων Σύμβουλος της Profero, λέει ότι το θράσος μιας τόσο κακόβουλης ομάδας είναι ένα άλλο μήνυμα ότι οι κυβερνήσεις πρέπει να αναπτύξουν από κοινού μία προσέγγιση για την καταπολέμηση αυτών των απειλών.
Πρόσφατα, μια άλλη hacking ομάδα που πιστεύεται ότι εργάζεται για μια κυβέρνηση έχει συνδεθεί με ransomware επιθέσεις. Σύμφωνα με την ClearSky, η hacking ομάδα “Fox Kitten” που υποστηρίζεται από το Ιράν έχει εμπλακεί σε επιχειρήσεις του Pay2Key ransomware, έχοντας ως στόχο οργανισμούς στο Ισραήλ και τη Βραζιλία.