(Κινέζοι) hackers που ασχολούνται με την κυβερνο-κατασκοπεία έχουν στοχεύσει κινεζόφωνες εταιρείες ημιαγωγών, με ψεύτικα μηνύματα που σχετίζονται με την TSMC, και τις μολύνουν με Cobalt Strike beacons.
Η Taiwan Semiconductor Manufacturing Company (TSMC) είναι η μεγαλύτερη εταιρεία στον κόσμο στον τομέα της κατασκευής και σχεδίασης ημιαγωγών, με ετήσια έσοδα ύψους 73,5 δισεκατομμυρίων δολαρίων.
Η πρόσφατη κακόβουλη εκστρατεία παρατηρήθηκε από την EclecticIQ και επικεντρώνεται σε εταιρείες που βρίσκονται στην Ταϊβάν, το Χονγκ Κονγκ και τη Σιγκαπούρη. Οι ερευνητές παρατήρησαν ότι οι τεχνικές και οι τακτικές που χρησιμοποιούνται έχουν ομοιότητες με προηγούμενες δραστηριότητες που συνδέονται με hackers που υποστηρίζονται από το κινεζικό κράτος.
Δείτε επίσης: LightSpy iPhone spyware: Συνδέεται με τους hackers APT41;
 hackers που ασχολούνται με την κυβερνο-κατασκοπεία έχουν στοχεύσει κινεζόφωνες εταιρείες ημιαγωγών, με ψεύτικα μηνύματα){kind=link}
Cobalt Strike beacons
Η Eclectic δεν αναφέρει ξεκάθαρα τον αρχικό τρόπο παραβίασης των εταιρειών, αλλά υποθέτει ότι ξεκινά με spear-phishing emails. Σε αυτήν την εκστρατεία, οι επιτιθέμενοι διανέμουν το HyperBro loader για να εγκαταστήσουν ένα Cobalt Strike beacon στην παραβιασμένη συσκευή, αποκτώντας απομακρυσμένη πρόσβαση.
Όταν το HyperBro εκκινηθεί, θα εμφανιστεί ένα αρχείο PDF που υποτίθεται ότι προέρχεται από την TSMC. Με αυτόν τον τρόπο, το θύμα δεν αντιλαμβάνεται ότι πρόκειται για κάτι ύποπτο.
Το loader χρησιμοποιεί DLL side-loading για να ξεκινήσει ένα Cobalt Strike beacon στη μνήμη, αξιοποιώντας ένα ψηφιακά υπογεγραμμένο binary από το vfhost.exe της CyberArk.
Ένα αρχείο με το όνομα ‘bin.config‘, που περιέχει κρυπτογραφημένο Cobalt Strike shellcode με XOR, αποκρυπτογραφείται και φορτώνεται στην νόμιμη διεργασία ‘vfhost.exe‘, αποφεύγοντας τον εντοπισμό από λογισμικό ανίχνευσης.
Η διεύθυνση του command and control (C2) server είναι κωδικοποιημένη στο Cobalt Strike implant και συγκαλύπτεται ως νόμιμο jQuery CDN, επιτρέποντάς του να παρακάμψει τις άμυνες του firewall.
Σε μια δεύτερη εκδοχή της επίθεσης, οι hackers χρησιμοποιούν έναν παραβιασμένο διακομιστή ιστού Cobra DocGuard για να εγκαταστήσουν ένα επιπλέον McAfee binary (‘mcods.exe’) και να φορτώσουν περισσότερο Cobalt Strike shellcode χρησιμοποιώντας ξανά DLL side-loading μέσω του ‘mcvsocfg.dll’.
Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware
Σε αυτήν την περίπτωση, οι hackers ανέπτυξαν ένα προηγουμένως άγνωστο backdoor με το όνομα “ChargeWeapon“, που συλλέγει και στέλνει δεδομένα στο C2.
Το ChargeWeapon backdoor χρησιμοποιεί απλές μεθόδους αποφυγής κακόβουλου λογισμικού, που παρέχονται μέσω του εργαλείου ανοιχτού κώδικα “garble“, ενώ στις δυνατότητές του περιλαμβάνονται τα εξής:
- Επικοινωνία με μια απομακρυσμένη συσκευή χρησιμοποιώντας το default Windows command line interface
- Εκτέλεση εντολών μέσω Windows Management Instrumentation (WMI)
- Χρήση TCP over HTTP για τις επικοινωνίες C2
- Χρήση base64 encoding
- Διεργασίες αρχείων στον μολυσμένο υπολογιστή
Κινέζοι hackers πίσω από τις επιθέσεις στις εταιρείες ημιαγωγών;
Η Eclectic παρατήρησε ότι οι διαδικασίες, οι τεχνικές και τα malware (HyperBro loader, ChargeWeapon) που χρησιμοποιούνται στην πρόσφατη καμπάνια, μοιάζουν με αυτές των Κινέζων hackers RedHotel και APT27 (επίσης γνωστοί ως Budworm, LuckyMouse).
Επιπλέον, η Symantec και η ESET έχουν αναφέρει επίσης ότι hackers που χρηματοδοτούνται από την Κίνα, χρησιμοποιούν Cobra DocGuard servers για παράδοση κακόβουλου λογισμικού, όπως συνέβη και σε αυτή την περίπτωση.
Επιθέσεις σε εταιρείες ημιαγωγών
Σε μια εποχή όπου ο τομέας των ημιαγωγών έχει γίνει κρίσιμος για την τεχνολογική πρόοδο, η αύξηση των κυβερνοεπιθέσεων έχει αρχίσει να αναδύεται ως μια πολύ σοβαρή απειλή. Οι επιθέσεις αυτές, που τις περισσότερες φορές πραγματοποιούνται από hackers που ενδιαφέρονται για κατασκοπεία, στοχεύουν καταρχάς στους κορυφαίους παραγωγούς ημιαγωγών.
Σε αυτή την περίπτωση, οι hackers που πιστεύεται ότι συνδέονται με την Κίνα, χρησιμοποιήσαν Cobalt Strike beacons που τους επέτρεψαν να εγκαταστήσουν backdoor στα συστήματα των θυμάτων, παρέχοντάς τους πλήρη πρόσβαση και έλεγχο στα εν λόγω συστήματα.
Δείτε επίσης: Hackers χρησιμοποίησαν exploit για το κρίσιμο WS_FTP bug που διορθώθηκε πρόσφατα
Έτσι, οι επιθέσεις αυτές δημιουργούν σημαντικές απώλειες και κινδύνους, είτε πρόκειται για θέματα ιδιωτικότητας, είτε για ζημιές στην υλικοτεχνική υποδομή. Με την εισβολή στα συστήματα των εταιρειών, οι επιτιθέμενοι έχουν την ικανότητα να αλλάξουν δεδομένα, να καταστρέψουν συστήματα ή ακόμη και να αναστείλουν τις λειτουργίες μιας εταιρείας.
Αυτή η αυξανόμενη απειλή απαιτεί από τις εταιρείες παραγωγής ημιαγωγών να λάβουν αμέσως δράση, ενισχύοντας τα μέτρα ασφάλειας τους και επενδύοντας σε πιο ισχυρές και εξελιγμένες λύσεις για την προστασία των συστημάτων τους.
Πηγή: www.bleepingcomputer.com