Συνασπισμός πωλητών ασφαλείας καθαρίζει 43.000 μολύνσεις κακόβουλου λογισμικού που χρησιμοποιούνται για Cyberespionage

ο συνασπισμός των πωλητών ασφαλείας έχει διαταράξει τις δραστηριότητες μιας εξελιγμένης ομάδας επιτιθεμένων που συνδέονται με την Κίνα, που κατά τα τελευταία έξι χρόνια διείσδυσαν τους υπολογιστές πολλών εταιριών Fortune 500, δημοσιογράφων, περιβαλλοντικών ομάδων, εταιρειών λογισμικού, ακαδημαϊκών ιδρυμάτων, κυβερνητικές υπηρεσίες σε όλο τον κόσμο.

Η λεγόμενη προσπάθεια "απαγόρευσης" αναγγέλθηκε δημοσίως νωρίτερα αυτό το μήνα και στόχευσε μια ομάδα cyberespionage που ονομάστηκε Axiom. Παρουσιάστηκε η συμμετοχή των Novetta, Cisco Systems, Microsoft, FireEye, F-Secure, iSight Partners, Symantec, Tenable Network Security, ThreatConnect, ThreatTrack Security και Volexity. την κατάργηση 43.000 περιπτώσεων κακόβουλων εργαλείων που έχουν εγκατασταθεί από τους επιτιθέμενους Axiom σε κατεστραμμένους υπολογιστές, σύμφωνα με πλήρη έκθεση που δημοσιεύθηκε τη Δευτέρα από την Novetta, εταιρεία αναλύσεων δεδομένων που προκάλεσε τον συνασπισμό

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας των Windows ]

Η προσπάθεια καθαρισμού έγινε μέσω του Εργαλείου αφαίρεσης κακόβουλου λογισμικού (MSRT) της Microsoft, το οποίο ενημερώνεται και διανέμεται μέσω του Windows Update μηνιαίως και μέσω των προϊόντων ασφαλείας άλλων προμηθευτών που συμμετέχουν στην ενέργεια. οι λοιμώξεις ήταν περιπτώσεις του Hikit, ενός προγράμματος κακόβουλου λογισμικού το οποίο χρησιμοποίησε η Axiom για την απομάκρυνση των δεδομένων και την επιμονή κατά τα τελευταία στάδια των επιθέσεων, δήλωσε ο Novetta.

Το Hikit είναι ένα από τα κακόβουλα προγράμματα ms ψηφιακά υπογράφηκε με πιστοποιητικό που ανήκει στην εταιρεία ασφαλείας Bit9 το 2012 μετά την εισβολή των hackers στην υποδομή της εταιρείας. Η Novetta πιστεύει ότι οι επιθέσεις Axiom είχαν εμπλακεί σε αυτήν την επίθεση, καθώς και σε άλλους. Τα εργαλεία και οι υποδομές που χρησιμοποιούνται από την ομάδα αλληλοεπικαλύπτονται με εκείνες που χρησιμοποιούνται σε πολλές εκδηλώσεις κυπριακής διαφθοράς που ανακαλύφθηκαν τα τελευταία χρόνια, συμπεριλαμβανομένης της λειτουργίας Aurora που επηρέασε το Google, το Elderwood Project, Shell_Crew, Operation Deputy Dog, Operation Ephemeral Ύδρα και Operation Snowman. η ομάδα απειλών είναι μια καλά οργανωμένη, πειθαρχημένη και εξελιγμένη υποομάδα μιας μεγαλύτερης ομάδας κατασκοπείας στον κυβερνοχώρο, η οποία έχει κατευθύνει τις επιχειρήσεις ελεύθερες για πάνω από έξι χρόνια ", ανέφερε η κ. Novetta στην έκθεσή της. "Η Novetta έχει μέτρια έως υψηλή εμπιστοσύνη στο ότι η οργάνωση Axiom είναι μέρος της κινεζικής συσκευής πληροφοριών."

Η συλλογή πληροφοριών μέχρι τώρα δείχνει ότι η ομάδα Axiom χειρίζεται την κλοπή δεδομένων και τα στάδια μακροχρόνιας εμμονής των εκστρατειών κυπριακής διαφθοράς . Μόλις διεισδύσει ένα δίκτυο υπολογιστών, η ομάδα παρακολουθεί και προσαρμόζει τα εργαλεία της σε αλλαγές τοπολογίας ή νέα στοιχεία ασφαλείας που προστίθενται στο δίκτυο με την πάροδο του χρόνου. Σε ορισμένες περιπτώσεις η εμμονή του μπορεί να μετρηθεί σε χρόνια, δήλωσε ο Novetta

Οι εισβολείς Axiom δημιουργούν ξεχωριστή υποδομή εντολών και ελέγχου για σχεδόν κάθε στόχο που έχει μολυνθεί από το Hikit και τα ίδια τα δυαδικά αρχεία Hikit προσαρμόζονται για το περιβάλλον κάθε στόχου. Η Novetta πιστεύει ότι οι οργανώσεις των οποίων οι υπολογιστές τελικά μολύνονται με το malware Hikit έχουν ιδιαίτερη σημασία για την ομάδα Axiom και τους χειριστές της ή ότι το περιβάλλον τους είναι σκληρό και απαιτεί περισσότερο εξειδικευμένο κακόβουλο λογισμικό.

Με βάση τα δεδομένα τηλεμετρίας MSRT, οι μολύνσεις Hikit εντοπίστηκαν κυρίως σε υπολογιστές που βρίσκονται στις ΗΠΑ, τη Νότια Κορέα, την Ταϊβάν, την Ιαπωνία και την Ευρωπαϊκή Ένωση. Οι οργανώσεις που επηρεάζονται περιλαμβάνουν τις ασιατικές και δυτικές κυβερνητικές υπηρεσίες, τις ΜΚΟ που ασχολούνται με τα ανθρώπινα δικαιώματα και την περιβαλλοντική πολιτική, τους κατασκευαστές ηλεκτρονικών ειδών και εξοπλισμού δικτύων, τις εταιρείες επιχειρηματικών κεφαλαίων, τις οργανώσεις των μέσων ενημέρωσης, τις εταιρείες τηλεπικοινωνιών, τους παρόχους υπολογιστικού cloud και τα ακαδημαϊκά ιδρύματα. οι παραπάνω βιομηχανίες ταιριάζουν ιδιαίτερα καλά με τα στρατηγικά συμφέροντα της Κίνας και με τα πιό πρόσφατα Πενταετή Προγράμματα που έγιναν δεκτά το 2006 και το 2011 ", ανέφερε η Novetta. "Το 12ο Πενταετές Σχέδιο δείχνει την νέα κατεύθυνση της Κίνας στην επιδίωξη της προηγμένης τεχνολογίας και των προηγμένων προσπαθειών Ε & Α. Καθώς η Κίνα ξεκινά την απομάκρυνσή της από την εξάρτηση από την ξένη τεχνολογία (συγκεκριμένα τις ΗΠΑ), όλο και περισσότερες εταιρείες και οργανισμοί μπορεί να στοχεύουν το Axiom ή / και άλλες ομάδες που λαμβάνουν το ίδιο ή παρόμοιο έργο.

Τα τελευταία χρόνια, ένας αυξανόμενος αριθμός αναφορών πρότειναν άμεσους δεσμούς μεταξύ των επιθέσεων κυπριακής διαφθοράς και της κινεζικής κυβέρνησης, ιδίως του Λαϊκού Απελευθερωτικού Στρατού της Κίνας. Ωστόσο, η κινεζική κυβέρνηση αμφισβητεί επανειλημμένα τους ισχυρισμούς ότι εμπλέκεται σε κυβερνοεπιθέσεις εναντίον άλλων κυβερνήσεων και ξένων εταιρειών.

Το Υπουργείο Δικαιοσύνης των ΗΠΑ χρεώνει πέντε υποτιθέμενα μέλη του κινεζικού Λαϊκού Απελευθερωτικού Στρατού τον Μάιο για τους ρόλους τους στις κρατικές επιθέσεις που περιλάμβανε την πειρατεία σε υπολογιστές των αμερικανικών εταιρειών για να κλέψουν εμπορικά μυστικά. Οι Κινέζοι αξιωματούχοι αντιμετώπισαν με τις κατηγορίες τους ότι οι ΗΠΑ έχουν πειραχτεί σε κινεζικά κυβερνητικά τμήματα, εταιρείες και πανεπιστήμια και ότι «η Κίνα είναι θύμα σοβαρών δραστηριοτήτων στον κυβερνοχώρο, τις τηλεμεταφορές και την επιτήρηση των ΗΠΑ».

Η έκθεση Novetta συνοδεύεται από αναλυτικές αναλύσεις το κακόβουλο λογισμικό που χρησιμοποιείται από την ομάδα Axiom, καθώς και τα hashes και τις υπογραφές ανίχνευσης.