En sikkerhed forskergruppe har afdækket en farlig hacking gruppe kendt som Bronze præsident. Tilsyneladende de kriminelle er ansvarlige for en omfattende målretning netværk cyber spionage kampagne i Asien. De bruger en kombination af brugerdefineret kode og offentligt tilgængelig udnyttelse og malware mod offentlige agenturer og ngo'er.
Hvad der vides om hackernes aktivitet er, at de har startet deres første angreb tilbage 2014. Ifølge de tilgængelige rapporter er de sandsynligvis placeret i Folkerepublikken Kina (PRC). Dette er baseret på kampagnesignaturer, der ser ud til at korrelere med de nylige angreb, der tilskrives hackerne. Hvad der adskiller sig ved deres angreb er, at de bruger både proprietære netværksværktøjer og også offentligt tilgængelige værktøjssæt for at planlægge og udføre deres indtrængningsforsøg. I øjeblikket ser det ud til, at kampagnen hovedsageligt er rettet mod NGO'er og retshåndhævende myndigheder og offentlige organer.
Bronze President-hackerne vil bruge forskellige bedrifter og forskellige teknikker for at trænge ind på målnetværket. Så snart dette er gjort malware-koden hæver dets privilegier giver det mulighed for at udføre systemomfattende handlinger. Brugerdefinerede batch-scripts køres af to grunde:
- Indsamling - Kriminelle kan omfatte en omfattende liste over data, der skal indsamles af malware. Det består normalt af personlige oplysninger om ofrene, der kan bruges til forbrydelser som identitetstyveri og afpresning, samt en komplet profil af de inficerede maskiner. Det kan bruges til statistiske formål eller til at oprette et unikt ID, der er knyttet til hver enkelt computer.
- Sikkerhed Bypass - Dette er et populært modul, der findes blandt avanceret malware. Det scanner hukommelsen for processer, der er identificeret som sikkerhedsprogrammer. De betragtes som farlige for den hackerstyrede malware, da de kan blokere eller stoppe dem. For at overvinde dem vil hovedmotoren være krypteret og kan “dræbe” processerne, før de har mulighed for at scanne efter vira. Dette fungerer normalt imod anti-virus programmer, firewalls, sandkasse miljøer og virtuelle maskiner værter.
Bronzepræsidentens angreb betragtes som meget farlige
De seneste angreb er koncentreret mod mål i større asiatiske lande som Mongoliet, Indien og Kina. Det ser ud til, at en væsentlig del af virusprøverne også leveres via phishing-kampagner. Dette er praksis med at manipulere modtagere eller webbrugere til at tro, at de ser en legitim besked fra et velkendt firma eller en webtjeneste. Kriminelle kaprer designet, tekst og grafik fra dem og oprette deres egne falske kopier. De sendes normalt e-mails eller vært hjemmesider, begge er placeret på domænenavne, der lyder sikkert. Ikke kun lyder adresserne ens, men indholdet kan også indeholde selvsignerede sikkerhedscertifikater. De analyserede prøver viser, at indholdet og brugerdefinerede versioner bruger skabelonbeskeder, der er af interesse for modtagere relateret til national sikkerhed og humanitær indsats.
På grund af de omfattende angreb og den varierede type ofre vurderer sikkerhedsanalytikerne Bronze President-gruppen som statsstøttet. Angrebskampagnerne betragtes som indflydelsesrige, og det faktum, at nye versioner af værktøjerne og brugerdefinerede nyttelast ofte vises, vi forventer, at antallet af kompromitterede netværk fortsat vil vokse. I øjeblikket kan vi ikke bedømme nøjagtigt, hvor mange værter der er berørt, og den potentielle skade, der er gjort hidtil.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: