Chińska grupa hakerów do wynajęcia ujawniona przez Symantec

Symantec odkrył jedną z najlepszych grup hakerów do wynajęcia, pochodzącą z Chin, Hidden Lynx.

Oto najważniejsze ustalenia na jej temat:

Hidden Lynx liczy od 50 do 100 członków podzielonych na dwa odrębne zespoły, w swoich operacjach wykorzystuje złożone i zaawansowane techniki ataków.

Grupa oferuje swoim klientom pełne wsparcie oraz możliwość przeprowadzenia ataków przygotowanych pod konkretny cel – w tym ataki wykorzystujące zagrożenia klasy zero-day (luki bezpieczeństwa występujące w oprogramowaniu, o których nikt nie wie do momentu ich wykorzystania) oraz tzw. „watering hole attacks” – technikę stosowaną do pozyskania informacji od wielu, różnorodnych celów w tym instytucji rządowych i korporacji.

Ze względu na zakres oraz liczbę celów i krajów objętych atakami specjaliści firmy Symantec wnioskują, że jest to najprawdopodobniej grupa zawodowych hakerów do wynajęcia, angażowanych przez klientów, którzy chcą zdobyć określone informacje. Na życzenie kradną wszystko, czym zainteresowani są ich zleceniodawcy, stąd duża różnorodność i zakres atakowanych obiektów.

Grupa działa niezwykle sprawnie a także wykorzystuje zupełnie nowe techniki aby włamać się do systemów najlepiej zabezpieczonych organizacji, włączając w to komputery firm działających w przemyśle zbrojeniowym. Warto podkreślić, że członkowie Hidden Lynx włamali się również do infrastruktury podpisującej pliki zaufanymi certyfikatami w firmie Bit9, włamanie to posłużyło do nadania szkodliwemu oprogramowaniu certyfikatów bezpieczeństwa i było częścią większej kampanii wymierzonej w inne organizacje.

Poniżej znajduje się artykuł z bloga firmy Symantec na temat działań grupy, a pod adresem: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf znaleźć można szczegółowy raport o Hidden Lynx.

Hidden Lynx — zawodowi hakerzy do wynajęcia

Symantec Security Response

Od kilku lat wciąż otrzymujemy kolejne raporty ze szczegółami działań hakerów stojących za wieloma ukierunkowanymi incydentami lub zaawansowanymi atakami o długotrwałym działaniu (APT). Pracownicy działu Security Response firmy Symantec obserwują pewną grupę, która ich zdaniem należy do najlepszych zespołów hakerów działających z Chin. Nazwano ją „Hidden Lynx” (pl. ukryty ryś) w nawiązaniu do łańcucha znaków, który znaleziono w jej komunikacji z serwerem sterującym C&C. Ambicja i determinacja tej grupy jest większa niż w przypadku wszystkich innych znanych zespołów, takich jak APT1/Comment Crew. Oto najważniejsze cechy charakteryzujące grupę Hidden Lynx:

  • umiejętności techniczne,

  • elastyczność,

  • organizacja,

  • duża zaradność,

  • cierpliwość.

Atrybuty te pojawiają się w kampaniach grupy, prowadzonych przez dłuższy czas przeciwko wielu celom równocześnie. Hakerzy z Hidden Lynx są pionierami techniki „wodopoju” (ang. watering hole) stosowanej do zastawiania pułapek na cel. Dysponują też szybkim dostępem do informacji o nowo odkrytych lukach klasy zero-day, a przy tym cechują się nieustępliwością i cierpliwością inteligentnych myśliwych, którzy atakują łańcuch dostaw, aby dotrzeć do swojego prawdziwego celu. W ramach ataków infekowane są komputery u dostawcy obiektu docelowego. Atakujący czeka potem na instalację zainfekowanego sprzętu i nawiązanie komunikacji z bazą. To działania przygotowane ze staranną kalkulacją, a nie spontaniczne wypady amatorów.

Grupa nie ogranicza się do garstki celów, atakuje — nierzadko jednocześnie — setki różnych organizacji w wielu różnych krajach. Ze względu na zakres oraz liczbę celów i krajów objętych atakami wnioskuje się, że jest to najprawdopodobniej grupa zawodowych hakerów do wynajęcia, angażowanych przez klientów, którzy chcą zdobyć określone informacje. Na życzenie kradną wszystko, czym zainteresowani są ich zleceniodawcy, stąd duża różnorodność i zakres atakowanych obiektów.

Eksperci firmy Symantec uważają również, że do przeprowadzania ataków o takiej skali grupa musi dysponować znaczną liczbą członków wyspecjalizowanych w tej działalności. Może tu chodzić o 50–100 osób, podzielonych, na co najmniej dwa odrębne zespoły, którym powierzane są różne zadania wykonywane za pomocą odmiennych narzędzi i technik. Na przeprowadzenie tego typu ataków potrzeba wiele czasu i wysiłku, niektóre kampanie wymagają też badań i gromadzenia informacji przed przeprowadzeniem skutecznego natarcia.

W pierwszej linii tej grupy znajduje się zespół, który stosuje narzędzia jednorazowego użytku wraz z podstawowymi, lecz skutecznymi technikami do atakowania wielu różnych celów. Jego członkowie mogą zajmować się też gromadzeniem informacji. Nazywamy tę ekipę „Zespołem Moudoor” od nazwy stosowanej przez nią konia trojańskiego. Moudoor to wirus wykorzystujący furtkę w zabezpieczeniach, stosowany swobodnie przez ten zespół bez obaw o wykrycie przez firmy zajmujące się zabezpieczeniami. Drugi zespół pełni rolę jednostki do zadań specjalnych, elitarnej grupy włamującej się do najcenniejszych lub najlepiej strzeżonych danych. Korzysta on z konia trojańskiego o nazwie Naid, dlatego nazywamy go „Zespołem Naid”. W przeciwieństwie do oprogramowania Moudoor koń trojański Naid jest używany oszczędnie i z zachowaniem odpowiednich środków ostrożności, aby uniknąć wykrycia i schwytania — jak tajna broń używana tylko wtedy, gdy porażka jest nie do przyjęcia.

Od roku 2011 odnotowano, co najmniej sześć istotnych kampanii przeprowadzonych przez tę grupę. Wśród nich najbardziej zwraca uwagę atak VOHO z czerwca 2012 r. Szczególnie interesującą cechą tego ataku było zastosowanie techniki wodopoju i włamanie do infrastruktury podpisującej pliki zaufanymi certyfikatami w firmie Bit9. Kampania VOHO docelowo była ukierunkowana na amerykańskie firmy zbrojeniowe. Ich systemy były jednak chronione przez oprogramowanie Bit9, które działa w oparciu o listę zaufanych plików. Gdy hakerzy z grupy Hidden Lynx natknęli się przez tę przeszkodę, ponownie przeanalizowali swoje możliwości i uznali, że najlepszym obejściem zabezpieczeń będzie włamanie do wnętrza samego systemu ochrony i wykorzystanie go do własnych celów. Następnie skierowali swoje ataki na firmę Bit9 i włamali się do jej systemów. Szybko znaleźli drogę do infrastruktury podpisującej pliki, która stanowi podstawę modelu zabezpieczeń Bit9, po czym wykorzystali ten system do podpisania zaufanym certyfikatem wielu szkodliwych plików. Pliki te zostały następnie użyte do ataków na właściwe cele.

Szczegółowe informacje zawarto w dokumencie, w którym specjaliści Symantec opisali zespół Hidden Lynx.

Chińska grupa hakerów do wynajęcia ujawniona przez Symantec
Chińska grupa hakerów do wynajęcia ujawniona przez Symantec

Źródło: Symantec