ΑρχικήsecurityΚινέζοι cyberspies στοχεύουν κυβερνήσεις με το «πιο προηγμένο» backdoor

Κινέζοι cyberspies στοχεύουν κυβερνήσεις με το «πιο προηγμένο» backdoor

Ερευνητές ασφαλείας ανακάλυψαν ένα κρυφό backdoor που συνδέεται με την Κίνα, γνωστό ως Daxin, το οποίο έχει σχεδιαστεί για να αναπτύσσεται σε εταιρικά δίκτυα που διαθέτουν προηγμένες δυνατότητες ανίχνευσης απειλών.

backdoor

Δείτε επίσης: Το malware SockDetour χρησιμοποιείται ως Windows backdoor

Σύμφωνα με μια έκθεση που δημοσιεύτηκε από την ομάδα Threat Hunter της Symantec, το Daxin είναι ένα από τα πιο προηγμένα backdoors που έχουν αναπτυχθεί ποτέ από Κινέζους hackers.

To Daxin έχει διαφορετική μορφή. Περιέχει ένα πρόγραμμα drive πυρήνα των Windows, μια άτυπη επιλογή στο τοπίο του κακόβουλου λογισμικού. Η μυστικότητά του προέρχεται από τα προηγμένα χαρακτηριστικά επικοινωνίας του, τα οποία συνδυάζουν την ανταλλαγή δεδομένων με την κανονική κίνηση στο Διαδίκτυο.

Τα Backdoors παρέχουν στους φορείς απειλών απομακρυσμένη πρόσβαση σε ένα παραβιασμένο σύστημα υπολογιστή, επιτρέποντάς τους να κλέβουν δεδομένα, να εκτελούν εντολές ή να κάνουν λήψη και εγκατάσταση περαιτέρω κακόβουλου λογισμικού.

Επειδή αυτά τα εργαλεία χρησιμοποιούνται συνήθως για την κλοπή πληροφοριών από προστατευμένα δίκτυα ή για περαιτέρω παραβίαση μιας συσκευής, πρέπει να περιλαμβάνουν κάποια μορφή κρυπτογράφησης δεδομένων για να αποφευχθεί η ειδοποίηση συναγερμών στα εργαλεία παρακολούθησης της κυκλοφορίας δικτύου.

Δείτε ακόμα: Το Bvp47 backdoor του Linux δεν εντοπίστηκε για 10 χρόνια

Το Daxin το κάνει αυτό παρακολουθώντας την κυκλοφορία δικτύου σε μια συσκευή για συγκεκριμένα μοτίβα. Μόλις εντοπιστούν αυτά τα μοτίβα, θα παραβιάσει τη νόμιμη σύνδεση TCP και θα τη χρησιμοποιήσει για να επικοινωνήσει με τον διακομιστή εντολών και ελέγχου.

Κινέζοι

Με την παραβίαση των επικοινωνιών TCP, το κακόβουλο λογισμικό Daxin μπορεί να κρύψει κακόβουλη επικοινωνία σε κάτι που θεωρείται νόμιμη κυκλοφορία και επομένως να παραμείνει μη ανιχνεύσιμο.

Αυτό ουσιαστικά ανοίγει ένα κρυπτογραφημένο κανάλι επικοινωνίας για τη μετάδοση ή την κλοπή δεδομένων, όλα γίνονται μέσω μιας φαινομενικά αβλαβούς σήραγγας TCP.

Το Daxin ξεχωρίζει επίσης λόγω της ικανότητάς του να δημιουργεί περίπλοκα μονοπάτια επικοινωνίας σε πολλούς μολυσμένους υπολογιστές ταυτόχρονα, χρησιμοποιώντας μία μόνο εντολή. Αυτό επιτρέπει στους παράγοντες απειλής να αποκαταστήσουν γρήγορα τις συνδέσεις και τα κρυπτογραφημένα κανάλια επικοινωνίας σε καλά φυλαγμένα δίκτυα.

Οι αναλυτές απειλών της Symantec βρήκαν στοιχεία που συνδέουν το Daxin με την κινεζική ομάδα hacking Slug (γνωστή και ως Owlproxy) που υποστηρίζεται από το κινεζικό κράτος.

Δείτε επίσης: Ομάδα που συνδέεται με το ransomware Memento χρησιμοποιεί νέο backdoor PowerShell

Σύμφωνα με πληροφορίες, το συγκεκριμένο backdoor έχει χρησιμοποιηθεί ενεργά σε επιθέσεις τουλάχιστον από τον Νοέμβριο του 2019, ενώ οι ερευνητές εντόπισαν σημάδια ανάπτυξής του ξανά τον Μάιο του 2020 και τον Ιούλιο του 2020.

Οι πιο πρόσφατες επιθέσεις παρατηρήθηκαν τον Νοέμβριο του 2021, με στόχο εταιρείες τηλεπικοινωνιών, μεταφορών και κατασκευής.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS