Archiwalne

Firma FireEye wykrywa współpracę pomiędzy chińskimi cyberprzestępcami

17.09.2014

Firma FireEye Inc., lider w dziedzinie ochrony przed zaawansowanymi cyberatakami, opublikowała raport pt. „Operation Quantum Entanglement”. Jest on poświęcony dwóm kampaniom, które są ze sobą powiązane, mimo że hakerzy prowadzą je z dwóch odrębnych regionów Chin.

„Obawy budzi tutaj to, że te dwie grupy hakerów prawdopodobnie ze sobą współpracują, co znacznie zwiększa poziom zagrożenia” — powiedział Thoufique Haq, starszy inżynier w firmie FireEye. „Wygląda na to, że wykorzystują one system podobny do taśmy produkcyjnej w celu przeprowadzania wspólnych ataków wymierzonych w podmioty regionalne i międzynarodowe, w tym podmioty zlokalizowane w Stanach Zjednoczonych”.

Pierwsza grupa, zwana Moafee, prawdopodobnie działa z prowincji Guandong w Chinach. Jej działania są skierowane m.in. przeciwko organizacjom wojskowym oraz rządom państw, które mają interesy w obszarze Morza Południowochińskiego. Niektóre z tych podmiotów to przedsiębiorstwa i organizacje z branży amerykańskiego przemysłu obronnego.

Druga grupa, znana pod nazwą DragonOK, kieruje swoje ataki przeciwko firmom z branży przemysłu i zaawansowanych technologii pochodzącym z Japonii i Tajwanu. DragonOK prawdopodobnie działa z prowincji Jiangsu.

W obu kampaniach grupy te wykorzystują podobne narzędzia, techniki i procedury (tools, techniques and procedures — TTP), w tym niestandardowe tylne wejścia (custom-built backdoors) oraz narzędzia administracji zdalnej (remote-administration tools — RAT), aby infiltrować sieci swoich ofiar. Ich preferowaną metodą ataku są wiadomości spear-phishing przesyłane pocztą elektroniczną, w których często pojawia się dokument-przynęta wprowadzający ofiarę w błąd. Są one napisane w języku osób, przeciwko którym wymierzony jest dany atak.

Zarówno Moafee, jak i DragonOK używają znanego narzędzia proxy — HUC Packet Transmit Tool (HTRAN) — do ukrywania swojej lokalizacji geograficznej. Obie grupy wykorzystują również dokumenty chronione hasłem oraz pliki o dużych rozmiarach do maskowania swoich ataków. Metody te, połączone z podobieństwami w zakresie TTP, zdają się wskazywać na to, że grupy te przeszły takie samo szkolenie, korzystają ze wspólnego łańcucha dostaw narzędzi lub że wręcz współpracują ze sobą podczas przeprowadzania kampanii.

Z tych samych narzędzi, technik i procedur, w tym z tych samych niestandardowych tylnych wejść i narzędzi administracji zdalnej, korzysta jeszcze jedna, odrębna grupa cyberprzestępców. Badacze z firmy FireEye nie mają jednak wystarczających dowodów na jej powiązania z grupami Moafee i DragonOK.

źródło: FireEye