Um grupo de pesquisa de segurança descobriu um grupo de hackers perigosa conhecida como Presidente Bronze. Aparentemente, os criminosos são responsáveis por uma extensa rede de segmentação cibernético campanha de espionagem localizados na Ásia. Eles estão usando uma combinação de código personalizado e exploits publicamente disponíveis e malware contra agências governamentais e ONGs.
O que se sabe sobre a atividade dos hackers é que eles começaram os primeiros ataques de volta em 2014. De acordo com os relatórios disponíveis, eles provavelmente estão localizadas na República Popular da China (PRC). Isto é baseado em assinaturas de campanha que parecem estar relacionados com os recentes ataques atribuídos aos hackers. O que é diferente sobre os seus ataques é que eles usam ambas as ferramentas de rede de propriedade e também kits de ferramentas disponíveis publicamente, a fim de planejar e executar as suas tentativas de invasão. No momento em que a campanha parece estar visando principalmente ONGs e agências de aplicação da lei e do governo.
Os hackers Presidente Bronze usará várias façanhas e técnicas diferentes, a fim de se intrometer para as redes alvo. Assim que isso for feito o código de malware vai elevar seus privilégios permitindo que ele execute ações em todo o sistema. scripts em lote personalizado será executado por duas razões:
- Coleta de informações - Os criminosos podem incluir uma extensa lista de dados que devem ser recolhidos pelo malware. Ele geralmente consiste de informações pessoais sobre as vítimas que podem ser usados para crimes como roubo de identidade e chantagem, bem como um perfil completo das máquinas infectadas. Ele pode ser usado para fins estatísticos ou para criar uma identificação única que é associado a cada computador individual.
- Bypass de segurança - Este é um módulo popular que é encontrada entre o malware avançado. Ele irá verificar a memória para processos que são identificados como programas de segurança. Eles são considerados como perigosos para o malware controlado por hackers como eles podem bloquear ou impedi-los. Para superá-los o motor principal será criptografada e lata “mate” os processos antes que eles tenham a chance de varredura de vírus. Isso geralmente funciona contra programas anti-vírus, firewalls, ambientes de sandbox e hosts de máquinas virtuais.
Os ataques Presidente Bronze são considerados como muito perigoso
Os últimos ataques estão concentrados contra alvos localizados nas principais países asiáticos, como a Mongólia, Índia e China. Parece que uma parte significativa das amostras de vírus são também entregues através phishing campanhas. Esta é a prática de manipular os destinatários ou usuários da Internet em pensar que eles estão vendo uma mensagem legítima de uma empresa conhecida ou serviço web. Os criminosos vão seqüestrar o projeto, texto e gráficos a partir deles e criar suas próprias cópias falsificadas. Eles são normalmente enviados através mensagens de e-mail ou hospedado sites, ambos os quais são colocados em nomes de domínio que segura som. Não só os endereços som semelhante, mas o conteúdo também pode incluir certificados de segurança auto-assinados. As amostras analisadas mostra que os conteúdos e versões personalizadas usam mensagens de modelo que são de interesse para os destinatários relacionados à segurança nacional e os esforços humanitários.
Devido aos ataques extensos e do tipo variado de vítimas os analistas de segurança avaliar o grupo presidente Bronze como patrocinada pelo Estado. As campanhas de ataque são consideradas de alto impacto e o fato de que novas versões das ferramentas e cargas personalizados são frequentemente expostos prevemos que o número de redes comprometidas vai continuar a crescer. No momento não podemos julgar exatamente quantos anfitriões são afetados e os potenciais danos feito até agora.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: