Eine Sicherheitsforschungsgruppe hat eine gefährliche Hacking Gruppe bekannt als Bronze Präsident aufgedeckt. Offenbar sind die Verbrecher verantwortlich für ein umfassendes Cyber-Spionage-Kampagne Targeting-Netzwerke in Asien. Sie verwenden eine Kombination aus benutzerdefiniertem Code und öffentlich verfügbaren Exploits und Malware gegen Regierungsbehörden und NGOs.
Was über die Aktivität der Hacker bekannt ist, ist, dass sie ihre ersten Angriffe bereits in begonnen haben 2014. Nach den vorliegenden Berichten befinden sie sich wahrscheinlich in der Volksrepublik China (VR China). Dies basiert auf Kampagnen-Signaturen, die mit den jüngsten Angriffen der Hacker zu korrelieren scheinen. Das Besondere an ihren Angriffen ist, dass sie sowohl proprietäre Netzwerk-Tools als auch öffentlich verfügbare Toolkits verwenden, um ihre Angriffsversuche zu planen und auszuführen. Momentan richtet sich die Kampagne anscheinend hauptsächlich an NGOs, Strafverfolgungs- und Regierungsbehörden.
Die Hacker von Bronze President verwenden verschiedene Exploits und Techniken, um in die Zielnetzwerke einzudringen. Sobald dies geschehen ist Der Malware-Code erhöht seine Berechtigungen Ermöglichen, dass systemweite Aktionen ausgeführt werden. Benutzerdefinierte Batch-Skripte werden aus zwei Gründen ausgeführt:
- Sammeln von Informationen - Die Kriminellen können eine umfangreiche Liste von Daten enthalten, die von der Malware gesammelt werden sollen. Es besteht normalerweise aus persönlichen Informationen über die Opfer, die für Verbrechen wie Identitätsdiebstahl und Erpressung verwendet werden können, sowie ein vollständiges Profil der infizierten Maschinen. Es kann zu statistischen Zwecken oder zum Erstellen einer eindeutigen ID verwendet werden, die jedem einzelnen Computer zugeordnet ist.
- Sicherheit Bypass - Dies ist ein beliebtes Modul, das unter fortgeschrittener Malware zu finden ist. Der Speicher wird nach Prozessen durchsucht, die als Sicherheitsprogramme identifiziert werden. Sie gelten als gefährlich für die von Hackern kontrollierte Malware, da sie sie blockieren oder stoppen können. Um sie zu überwinden, wird die Hauptmaschine verschlüsselt und kann “töten” die Prozesse, bevor sie die Möglichkeit haben, nach Viren zu suchen. Dies funktioniert in der Regel gegen Anti-Viren-Programme, Firewalls, Sandbox-Umgebungen und Hosts für virtuelle Maschinen.
Die Angriffe des Bronze-Präsidenten gelten als sehr gefährlich
Die jüngsten Angriffe konzentrieren sich auf Ziele in großen asiatischen Ländern wie der Mongolei, Indien und China. Es scheint, dass ein erheblicher Teil der Virusproben auch über geliefert wird Phishing-Kampagnen. Dies ist die Praxis, die Empfänger oder Webbenutzer so zu manipulieren, dass sie glauben, eine legitime Nachricht von einem bekannten Unternehmen oder Webdienst zu sehen. Die Kriminellen werden das Design entführen, Text und Grafiken von ihnen und erstellen Sie ihre eigenen gefälschten Kopien. Sie werden normalerweise verschickt E-Mail-Nachrichten oder gehostet Webseiten, Beide werden auf Domain-Namen platziert, die sicher klingen. Die Adressen klingen nicht nur ähnlich, Der Inhalt kann jedoch auch selbstsignierte Sicherheitszertifikate enthalten. Die analysierten Beispiele zeigen, dass die Inhalte und benutzerdefinierten Versionen Vorlagenmeldungen verwenden, die für Empfänger im Zusammenhang mit der nationalen Sicherheit und humanitären Bemühungen von Interesse sind.
Aufgrund der umfangreichen Angriffe und der unterschiedlichen Art der Opfer bewerten die Sicherheitsanalysten die Bronze President-Gruppe als staatlich gefördert. Die Angriffskampagnen gelten als wirkungsvoll. Da häufig neue Versionen der Tools und benutzerdefinierten Nutzdaten angezeigt werden, gehen wir davon aus, dass die Anzahl der gefährdeten Netzwerke weiter zunehmen wird. Im Moment können wir nicht genau beurteilen, wie viele Hosts betroffen sind und welchen Schaden es bisher angerichtet hat.