Εθνικοί χάκερς με έδρα την Κίνα μόλυναν πρόσφατα μια αρχή έκδοσης πιστοποιητικών και αρκετές κυβερνητικές και αμυντικές υπηρεσίες με ένα ισχυρό κοκτέιλ κακόβουλου λογισμικού για να εισχωρήσουν σε ένα δίκτυο και να κλέψουν ευαίσθητες πληροφορίες, δήλωσαν ερευνητές την Τρίτη.

Η επιτυχής παραβίαση της ανώνυμης αρχής πιστοποιητικών είναι δυνητικά σοβαρή, επειδή οι οντότητες αυτές εμπιστεύονται τα προγράμματα περιήγησης και τα λειτουργικά συστήματα για την πιστοποίηση των ταυτοτήτων που είναι υπεύθυνες για έναν συγκεκριμένο διακομιστή ή εφαρμογή. Σε περίπτωση που οι χάκερ αποκτήσουν τον έλεγχο της υποδομής του οργανισμού, θα μπορούσαν να τη χρησιμοποιήσουν για να υπογράψουν ψηφιακά το κακόβουλο λογισμικό τους, ώστε να το κάνουν να ξεγλιστράει πιο εύκολα από τις προστασίες των τελικών σημείων. Θα μπορούσαν επίσης να είναι σε θέση να υποδυθούν κρυπτογραφικά αξιόπιστους ιστότοπους ή να υποκλέψουν κρυπτογραφημένα δεδομένα.

Ενώ οι ερευνητές που ανακάλυψαν την παραβίαση δεν βρήκαν στοιχεία που να αποδεικνύουν ότι η υποδομή πιστοποιητικών είχε παραβιαστεί, δήλωσαν ότι αυτή η εκστρατεία ήταν μόνο η πιο πρόσφατη από μια ομάδα που αποκαλούν Billbug, η οποία έχει καταγεγραμμένο ιστορικό αξιοσημείωτων παραβιάσεων που χρονολογείται τουλάχιστον από το 2009.

"Η ικανότητα αυτού του δράστη να θέτει σε κίνδυνο πολλά θύματα ταυτόχρονα υποδεικνύει ότι αυτή η ομάδα απειλών παραμένει ένας εξειδικευμένος και καλά εξοπλισμένος φορέας που είναι ικανός να πραγματοποιεί συνεχείς και εκτεταμένες εκστρατείες", έγραψαν οι ερευνητές της Symantec. "Ο Billbug φαίνεται επίσης να μην πτοείται από την πιθανότητα να του αποδοθεί αυτή η δραστηριότητα, με την επαναχρησιμοποίηση εργαλείων που έχουν συνδεθεί με την ομάδα στο παρελθόν".

Η Symantec κατέγραψε για πρώτη φορά το Billbug το 2018, όταν οι ερευνητές της εταιρείας εντόπισαν την ομάδα με το όνομα Thrip. Η ομάδα χάκαρε πολλούς στόχους, μεταξύ των οποίων έναν φορέα εκμετάλλευσης δορυφορικών επικοινωνιών, μια εταιρεία γεωχωρικής απεικόνισης και χαρτογράφησης, τρεις διαφορετικούς φορείς τηλεπικοινωνιών και έναν αμυντικό εργολάβο. Ιδιαίτερη ανησυχία προκάλεσε το χάκινγκ στον φορέα εκμετάλλευσης δορυφόρων, επειδή οι επιτιθέμενοι "φάνηκε να ενδιαφέρονται ιδιαίτερα για την επιχειρησιακή πλευρά της εταιρείας, αναζητώντας και μολύνοντας υπολογιστές που εκτελούσαν λογισμικό που παρακολουθεί και ελέγχει δορυφόρους". Οι ερευνητές υπέθεσαν ότι το κίνητρο των χάκερς μπορεί να ήταν πέρα από την κατασκοπεία και η διατάραξη της λειτουργίας.

Οι ερευνητές εντόπισαν τελικά τη δραστηριότητα hacking σε υπολογιστές που βρίσκονται φυσικά στην Κίνα. Εκτός από τη Νοτιοανατολική Ασία, οι στόχοι βρίσκονταν επίσης στις ΗΠΑ.

Λίγο περισσότερο από ένα χρόνο αργότερα, η Symantec συγκέντρωσε νέες πληροφορίες που επέτρεψαν στους ερευνητές να προσδιορίσουν ότι η Thrip ήταν ουσιαστικά η ίδια με μια ομάδα που προϋπήρχε περισσότερο γνωστή ως Billbug ή Lotus Blossom. Στους 15 μήνες που μεσολάβησαν από την πρώτη καταγραφή, η Billbug είχε παραβιάσει με επιτυχία 12 οργανισμούς στο Χονγκ Κονγκ, το Μακάο, την Ινδονησία, τη Μαλαισία, τις Φιλιππίνες και το Βιετνάμ. Τα θύματα περιλάμβαναν στρατιωτικούς στόχους, θαλάσσιες επικοινωνίες και τομείς των μέσων ενημέρωσης και της εκπαίδευσης.

Το Billbug χρησιμοποίησε έναν συνδυασμό νόμιμου λογισμικού και προσαρμοσμένου κακόβουλου λογισμικού για να εισχωρήσει στα δίκτυα των θυμάτων του. Η χρήση νόμιμου λογισμικού, όπως τα PsExec, PowerShell, Mimikatz, WinSCP και LogMeIn, επέτρεψε στις δραστηριότητες hacking να αναμειχθούν με τις κανονικές λειτουργίες στα περιβάλλοντα που είχαν παραβιαστεί. Οι χάκερς χρησιμοποίησαν επίσης τον ειδικά κατασκευασμένο κλέφτη πληροφοριών Catchamas και backdoors με την ονομασία Hannotog και Sagerunex.

Στην πιο πρόσφατη εκστρατεία με στόχο την αρχή πιστοποιητικών και τους άλλους οργανισμούς, ο Billbug επέστρεψε με τα Hannotog και Sagerunex, αλλά χρησιμοποίησε επίσης μια σειρά από νέο, νόμιμο λογισμικό, όπως τα AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil και Port Scanner.

Η δημοσίευση της Τρίτης περιλαμβάνει ένα πλήθος τεχνικών λεπτομερειών που μπορούν να χρησιμοποιήσουν οι χρήστες για να διαπιστώσουν αν έχουν γίνει στόχος του Billbug. Η Symantec είναι ο βραχίονας ασφάλειας της Broadcom Software.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica