Οι ερευνητές αποκτούν ένα διακομιστή εντολών που χρησιμοποιείται από τη βόρεια κορεατική ομάδα χάκερ

Οι ερευνητές αποκτούν ένα διακομιστή εντολών που χρησιμοποιείται από τη βόρεια κορεατική ομάδα χάκερ


Σε μια σπάνια κίνηση, οι κυβερνητικοί αξιωματούχοι έχουν παραδώσει στους ερευνητές ασφαλείας έναν κατασχεθέντα διακομιστή που θεωρείται ότι χρησιμοποιείται από τους βόρειους κορεάτες χάκερ για να ξεκινήσει δεκάδες στοχοθετημένες επιθέσεις πέρυσι

Γνωστή ως Operation Sharpshooter χρησιμοποιήθηκε για την παράδοση καμπάνιας κακόβουλου λογισμικού που στοχεύει τις κυβερνήσεις, τις τηλεπικοινωνίες και τους εργολάβους στον τομέα της άμυνας. Οι χάκερ έστειλαν το κακόβουλο έγγραφο του Word με ηλεκτρονικό ταχυδρομείο, το οποίο όταν άνοιγε το macro-code εκτέλεσης για να κατεβάσει ένα εμφύτευμα δεύτερης φάσης, που ονομάστηκε Rising Sun, το οποίο οι χάκερ χρησιμοποιούσαν για να διεξάγουν αναγνώριση και να κλέβουν δεδομένα χρηστών

που συνδέεται με τη Βόρεια Κορέα, ήταν ο βασικός ύποπτος, δεδομένης της αλληλεπικάλυψης με παρόμοιο κώδικα που είχε χρησιμοποιηθεί προηγουμένως από τους χάκερς, αλλά μια σύνδεση δεν επιβεβαιώθηκε ποτέ

Τώρα, McAfee λέει ότι είναι σίγουρος για να κάνει το σύνδεσμο

"Αυτή ήταν μια μοναδική πρώτη εμπειρία σε όλα μου τα χρόνια έρευνας και έρευνας απειλών", δήλωσε ο Christiaan Beek, επικεφαλής επιστήμονας και ανώτερος κύριος μηχανικός της McAfee, σε ηλεκτρονική διεύθυνση στο TechCrunch. "Στην κατοχή της ορατότητας στο διακομιστή εντολών και ελέγχου του αντιπάλου, μπορέσαμε να αποκαλύψουμε πολύτιμες πληροφορίες που οδηγούσαν σε περισσότερες ενδείξεις για να διερευνήσουμε", ανέφερε.

Η κίνηση ήταν μέρος μιας προσπάθειας να κατανοηθεί καλύτερα η απειλή από την (19459009) που κατηγορήθηκε για το χάος της Sony το 2016 και το ξέσπασμα ransomware της WannaCry το 2017 καθώς και πιο στοχοθετημένες επιθέσεις σε παγκόσμιες επιχειρήσεις

Στη νέα έρευνα που είδε η TechCrunch Την Κυριακή, η εξέταση του κώδικα διακομιστή από την εταιρεία ασφάλειας αποκάλυψε ότι η λειτουργία του Sharpshooter ήταν πολύ μεγαλύτερη από ό, τι κρίθηκε για πρώτη φορά – που χρονολογείται από τον Σεπτέμβριο του 2017 – και στοχεύει σε ευρύτερο φάσμα βιομηχανιών και χωρών, συμπεριλαμβανομένων των χρηματοπιστωτικών υπηρεσιών και των κρίσιμων υποδομών στην Ευρώπη, US

Η αρθρωτή δομή εντολών και ελέγχου του κακόβουλου λογισμικού Rising Sun.

Η έρευνα έδειξε ότι ο διακομιστής, που λειτουργούσε ως υποδομή εντολών και ελέγχου κακόβουλου λογισμικού, γράφτηκε στις γλώσσες γλώσσας PHP και ASP που χρησιμοποιούνται για την κατασκευή ιστοσελίδων και εφαρμογών μέσω διαδικτύου αναπτύχθηκε εύκολα και είναι εξαιρετικά κλιμακωτή

Το back-end έχει πολλά συστατικά που χρησιμοποιούνται για την εκτόξευση επιθέσεων στους στόχους των χάκερ. Κάθε συστατικό έχει ένα συγκεκριμένο ρόλο, όπως το downloader εμφυτεύματος, το οποίο φιλοξενεί και τραβά το εμφύτευμα από άλλο downloader. και ο διερμηνέας εντολών, ο οποίος χειρίζεται το εμφύτευμα ανερχόμενου ηλιακού φωτός μέσω ενός ενδιάμεσου διακομιστή για να βοηθήσει να κρύψει την ευρύτερη δομή εντολών.

Οι ερευνητές λένε ότι οι χάκερ χρησιμοποιούν μια εργοστασιακή προσέγγιση για την κατασκευή του Rising Sun, ενός αρθρωτού τύπου κακόβουλο λογισμικό που συναρμολογείται σε διαφορετικά στοιχεία για αρκετά χρόνια. "Αυτά τα συστατικά εμφανίζονται σε διάφορα εμφυτεύματα που χρονολογούνται από το 2016, γεγονός που αποτελεί ένδειξη ότι ο επιτιθέμενος έχει πρόσβαση σε ένα σύνολο ανεπτυγμένων λειτουργιών στη διάθεσή του", δήλωσε η έρευνα του McAfee. Οι ερευνητές βρήκαν επίσης μια "σαφή εξελικτική" πορεία από τον Duuzer, ένα backdoor που χρησιμοποιήθηκε για να στοχεύσει τους υπολογιστές της Νότιας Κορέας ήδη από το 2015 και επίσης μέρος της ίδιας οικογένειας κακόβουλου λογισμικού που χρησιμοποιήθηκε Αν και τα στοιχεία δείχνουν στον όμιλο Lazarus, τα στοιχεία από τα αρχεία καταγραφής δείχνουν μια παρτίδα IP διευθύνσεων που φέρεται να προέρχεται από τη Ναμίμπια.

"Είναι πολύ πιθανό ότι αυτές οι άκοφες συνδέσεις μπορεί να αντιπροσωπεύουν τις θέσεις από τις οποίες ο αντίπαλος λειτουργεί ή εξετάζει", ανέφερε η έρευνα. "Επίσης, αυτό θα μπορούσε να είναι μια ψεύτικη σημαία", όπως μια προσπάθεια να προκαλέσει σύγχυση σε περίπτωση συμβιβασμού του εξυπηρετητή.

Η έρευνα αντιπροσωπεύει μια σημαντική ανακάλυψη για την κατανόηση του αντιπάλου που βρίσκεται πίσω από το Operation Sharpshooter. Η απόδοση cyberattacks είναι δύσκολη στην καλύτερη περίπτωση, γεγονός που αναγνωρίζουν οι ερευνητές και οι κυβερνήσεις ασφαλείας, δεδομένου ότι οι συγγραφείς κακόβουλων προγραμμάτων και οι ομάδες απειλών έχουν κοινό κωδικό και αφήνουν τις κόκκινες ρέγγες να αποκρύψουν την ταυτότητά τους.

Ακόμη και αν οι στόχοι της εκστρατείας εξακολουθούν να είναι ένα μυστήριο, ο επικεφαλής επιστήμονας της McAfee Raj Samani δήλωσε ότι η διορατικότητα θα μας "δώσει βαθύτερη γνώση εντυπώσεις στις έρευνες που προχωρούν. "

>Μεταφρασμένο από την Google <
Source link

Αφήστε ένα σχόλιο

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.