Οι Κινέζοι κυβερνοκατάσκοποι στοχοποιούν κυβερνητικές οντότητες της Νοτιοανατολικής Ασίας και εταιρείες τηλεπικοινωνιών για περισσότερο από ένα χρόνο, με συστήματα backdooring που τρέχουν τις πιο πρόσφατες εκδόσεις των Windows 10 με ένα rootkit που ανακαλύφθηκε πρόσφατα. Η ομάδα hacking, που ονομάστηκε GhostEmperor από τους ερευνητές της Kaspersky που την εντόπισαν, χρησιμοποιεί το rootkit Demodex, το οποίο λειτουργεί ως backdoor για να διατηρήσει την επιμονή σε παραβιασμένους servers.
Δείτε επίσης: Οι χάκερ γίνονται πιο επιθετικοί για να εισβάλλουν σε υπηρεσίες RDP
Ο πρωταρχικός στόχος αυτού του rootkit είναι να αποκρύψει τεχνουργήματα κακόβουλου λογισμικού (συμπεριλαμβανομένων αρχείων, κλειδιών μητρώου και κυκλοφορίας δικτύου) για να αποφύγει τον εντοπισμό τόσο από τους εξωτερικούς ερευνητές όσο και από προϊόντα ασφάλειας.
Για να παραβιάσουν τους servers των θυμάτων τους, οι απειλητικοί φορείς εκμεταλλεύτηκαν γνωστά τρωτά σημεία στο Internet-facing server software, συμπεριλαμβανομένων των Apache, Window IIS, Oracle και Microsoft Exchange (το τελευταίο χτυπήθηκε δύο ημέρες αφότου δημοσιοποιήθηκαν τα σφάλματα του ProxyLogon).
Δείτε επίσης: Microsoft: Το νέο malware FoggyWeb είναι backdoor για τους χάκερ
Το GhostEmperor χρησιμοποιεί και ένα «εξελιγμένο πλαίσιο κακόβουλου λογισμικού πολλαπλών σταδίων» που επιτρέπει στους επιτιθέμενους με δυνατότητες τηλεχειρισμού σε παραβιασμένες συσκευές να παρέχουν απομακρυσμένο έλεγχο στους επιτιθέμενους servers.
Εξειδικευμένη ομάδα χάκερ με έμφαση σε στόχους υψηλού προφίλ
Οι χειριστές του GhostEmperor έδειξαν ότι «επιτυγχάνουν τον σκοπό τους» και με ένα σημαντικό σύνολο δεξιοτήτων που επισημαίνονται με τη χρήση τόσο εξελιγμένων όσο και ασυνήθιστων τεχνικών ανάλυσης και anti-forensic.
Ενώ η συντριπτική πλειοψηφία των επιθέσεών τους επικεντρώθηκε σε τηλεπικοινωνιακές εταιρείες και κυβερνητικούς οργανισμούς από τη Νοτιοανατολική Ασία (π.χ. Μαλαισία, Ταϊλάνδη, Βιετνάμ, Ινδονησία), οι ερευνητές παρατήρησαν και τη στόχευση άλλων γεωπολιτικών περιοχών, συμπεριλαμβανομένων χωρών όπως η Αίγυπτος, η Αιθιοπία και το Αφγανιστάν.
Δείτε επίσης: Γιατί οι χάκερ παραβιάζουν τους servers Windows IIS;
Περισσότερες τεχνικές λεπτομέρειες σχετικά με τις τακτικές του GhostEmperor και το rootkit Demodex μπορείτε να βρείτε στην αναφορά της Kaspersky.
Πηγή πληροφοριών: bleepingcomputer.com
