Un gruppo di ricerca sulla sicurezza ha scoperto un gruppo di hacking pericolosa nota come Presidente del bronzo. A quanto pare i criminali sono responsabili di un estese reti di targeting della campagna di spionaggio informatico situate in Asia. Stanno usando una combinazione di codice personalizzato e gli exploit a disposizione del pubblico e malware contro le agenzie governative e le ONG.
Quello che si sa circa l'attività degli hacker è che hanno iniziato i loro primi attacchi indietro in 2014. Secondo i report disponibili sono probabilmente localizzati nella Repubblica popolare cinese (PRC). Questo si basa sulle firme della campagna che sembrano correlare con i recenti attacchi attribuiti ai hacker. Ciò che è distinta per i loro attacchi è che usano entrambi gli strumenti di rete proprietarie e accessibili anche al pubblico toolkit al fine di pianificare ed eseguire i loro tentativi di intrusione. Al momento la campagna sembra essere mira principalmente le ONG e le forze dell'ordine e del governo.
Gli hacker presidente del bronzo utilizzeranno vari exploit e tecniche diverse, al fine di intrusione nelle reti di destinazione. Non appena questo è fatto il codice malware eleverà i suoi privilegi permettergli di svolgere le azioni a livello di sistema. script batch personalizzato verranno eseguiti per due motivi:
- Raccolta delle informazioni - I criminali possono includere un ampio elenco di dati che devono essere raccolti dal malware. Di solito consiste di informazioni personali sulle vittime che possono essere utilizzati per crimini come il furto di identità e di ricatto, così come un profilo completo delle macchine infette. Può essere utilizzato a fini statistici o per creare un ID univoco associato a ogni singolo computer.
- Security bypass - Questo è un modulo popolare che si trova tra il malware avanzati. Si esplorerà la memoria per i processi che vengono identificati come i programmi di sicurezza. Essi sono considerati pericolosi per il malware hacker controllato quanto possono bloccare o fermarli. Per superare loro il motore principale sarà cifrato e può “uccidere” i processi prima che abbiano la possibilità di eseguire la scansione di virus. Questo di solito funziona contro i programmi anti-virus, firewall, ambienti sandbox e gli host di macchine virtuali.
Gli attacchi presidente del bronzo sono considerati molto pericolosi
Gli ultimi attacchi si concentrano contro obiettivi situati nei principali paesi asiatici come la Mongolia, India e Cina. Sembra che una parte significativa dei campioni di virus vengono consegnati anche tramite campagne di phishing. Questa è la pratica di manipolare i soggetti o gli utenti di Internet a pensare che stanno vedendo un messaggio legittimo da una società ben nota o servizio web. I criminali saranno dirottare il design, testo e grafica da loro e creare le proprie copie di falsi. Di solito sono inviati tramite messaggi e-mail o ospitate siti web, entrambi i quali sono posti sui nomi a dominio che sicura del suono. Non solo gli indirizzi suono simile, ma i contenuti possono anche includere i certificati di protezione autofirmati. I campioni analizzati mostra che i contenuti e le versioni personalizzate utilizzano i messaggi di modello che sono di interesse per i destinatari relativi alla sicurezza nazionale e gli sforzi umanitari.
A causa delle ampie attacchi e il vario tipo di vittime degli analisti di sicurezza valutano il gruppo Presidente del bronzo come sponsorizzata dallo stato-. Le campagne di attacco sono considerati ad alto impatto e il fatto che le nuove versioni degli strumenti e dei carichi utili personalizzati vengono spesso esposti ci aspettiamo che il numero di reti compromesse continuerà a crescere. Al momento non possiamo giudicare esattamente quanti padroni di casa sono interessati e il danno potenziale fatto finora.