Technologie

10 door Ominous door de staat gesponsorde hackergroepen

10 door Ominous door de staat gesponsorde hackergroepen (Technologie)

Hackergroepen vormen tegenwoordig de snelst groeiende bedreiging voor landen, niet zozeer de 'hacktivisten' waarover we horen, maar uiterst professionele groepen die werken voor regeringen waar we niets over horen. Door de overheid gesponsorde hackergroepen hebben de mogelijkheid om zich te wurmen in de netwerken van de media, grote bedrijven, defensie-afdelingen en ja-regeringen en verwoestingen aan te richten. Zelfs beveiligingsbedrijven die zijn ontworpen om ze te stoppen, kunnen worden geïnfiltreerd.

De situatie is zo slecht, het wordt beschreven als een nieuwe 'koude oorlog' en deze is echt mondiaal en grotendeels onzichtbaar. Zelfs bedrijfsmerken zijn het doelwit van staten die op zoek zijn naar een economisch voordeel ten opzichte van concurrerende landen. Omdat computerverdedigingen belachelijk eenvoudig zijn voor hackers om een ​​compromis te sluiten, worden offensieve mogelijkheden verleidelijker, totdat uiteindelijk iedereen elkaar aanvalt. Het is slechts een kwestie van tijd voordat cyberaanvallen worden beschouwd als een daad van daadwerkelijke oorlog (een houding waar de VS al naar toe kijkt). Hackergroepen zoals de zieke 'Guardians of Peace' hebben al gewelddadige terreuraanslagen bedreigd en de vrijheid van meningsuiting in Hollywood ingeperkt.

Hier zijn 10 van de hoofdrolspelers in dit nieuwe kat-en-muisspel van spionage, sabotage en oorlogsvoering.

10Het Syrische elektronische leger (SEA)
Syrië

Het Syrische elektronische leger (SEA) genoot in 2011-2013 roem en een soort haat-liefdeverhouding met de media. De groep bestaat voornamelijk uit universiteitsstudenten in Syrië of zijn bondgenoten die vaak propaganda leveren aan de Syrische president Bashar al-Assad. Hun spraakmakende hacks van grote mediakanalen omvatten de New York Times, verschillende Twitter-accounts en zelfs de Ui (wiens antwoord nogal gedenkwaardig was), waardoor ze een terughoudend respect kregen bij beveiligingsbedrijven.

De SEA orkestreerde ook succesvolle aanvallen op CNN, The Washington Post, en Tijd in 2013. Tot slot overtuigde de groep het publiek ooit ervan dat een explosie in het Witte Huis was afgegaan, waarbij president Obama werd verwond. Dit heeft de aandelenmarkt even van streek gemaakt, waardoor de Dow Jones-index met een volledig percentage is gedaald.

Van de SEA-hackers is ook bekend dat ze zich bezighouden met duisterder pogingen, zoals het targeten en intimideren van personen met wie ze het niet eens zijn of die Assad niet ondersteunen. Hoewel ze beweren simpele patriotten te zijn, geven ze ook toe dat ze relevante informatie aan de staat doorgeven, ter illustratie van de troebele grens tussen hacktivisten en door de staat gesponsorde hackers. De SEA werkt voornamelijk door het gebruik van "spear-phishing", een gedeeltelijk sociaal ontwikkelde methode waarbij een gebruiker wordt misleid om wachtwoorden of andere gevoelige informatie te verstrekken, vaak door te worden doorverwezen naar een nep-website die voor dat doel is opgezet.

In november 2014 keerde de SEA terug en 'hackte' een aantal sites met behulp van een content delivery-netwerk, met een pop-up die luidde: 'U bent gehackt door het Syrische elektronische leger'.

9Tarh Andishan
Ik rende

In 2009 was Iran achtergebleven met een slecht gecompromitteerde en verminderde computerinfrastructuur na de veel gepubliceerde Stuxnet-wormaanval. Iran reageerde door zijn hackcapaciteiten te verhogen van eenvoudige website-defacement tot complete cyberoorlogvoering. Zo werd een door de staat gesponsorde hackergroep genaamd "Tarh Andishan" ("Denker" of "Vernieuwers" in het Farsi) geboren.

De groep kreeg bekendheid met 'Operation Cleaver', een campagne die al sinds 2012 actief is en gericht is geweest op ten minste 50 organisaties over de hele wereld op het gebied van militaire, commerciële, educatieve, milieu-, energie- en ruimtevaart. Vreemd genoeg hebben ze ook grote luchtvaartmaatschappijen getarget en hebben ze in sommige gevallen zelfs "volledige toegang" gekregen tot luchtvaartpoorten en controlesystemen, "waardoor ze in staat zouden zijn poortlogica's te vervalsen." Cyberbeveiligingsbedrijf Cylance, die nog geen conclusie heeft bereikt over de de langetermijndoelstellingen van de groep, bracht een vroeg verslag uit over Tarh Andishan (dat slechts een fractie van de activiteiten van de groep vertegenwoordigt) vanwege de vrees dat Operatie Cleaver al een "ernstig risico voor de fysieke veiligheid van de wereld" vormt.

Het rapport bevat bewijsmateriaal zoals bekende hackerhandvatten, Iraanse domeinnamen, infrastructuurhosting en andere indicatoren. Cylance gelooft dat de infrastructuur die beschikbaar is voor Tarh Andishan te groot is om het werk van een individu of een kleine groep te zijn. Tarh Andishan maakt gebruik van geavanceerde technieken, variërend van SQL-injectie, geavanceerde exploits en geautomatiseerde wormachtige propagatiesystemen, backdoors en meer. Er wordt gedacht dat ze ongeveer 20 leden hebben, voornamelijk uit Teheran met ondersteunende leden in Canada, het Verenigd Koninkrijk en Nederland. De slachtoffers zijn de VS en Midden-Amerika, delen van Europa, Zuid-Korea, Pakistan, Israël en verschillende andere regio's in het Midden-Oosten.


8Dragonfly / Energetic Bear
Oost-Europa

Een groep die Symantec de 'Dragonfly-bende' noemt en andere beveiligingsbedrijven 'Energetic Bear' hebben genoemd, opereert sinds 2011 in Oost-Europa en richt zich voornamelijk op energiebedrijven. Voordien richtte het zich op de luchtvaart- en defensiesectoren, meestal in de Verenigde Staten. VS en Canada. Symantec zegt dat de hackergroep "de kenmerken draagt ​​van een door de staat gesponsorde operatie met een hoge mate van technische mogelijkheden." Het werd voor het eerst ontdekt door het in Rusland gevestigde beveiligingsbedrijf Kaspersky Labs.

Dragonfly gebruikt Remote Access Trojans (RAT's), zoals hun eigen Backdoor.Oldrea en Trojan.Karagany malwaretools om doelen in de energiesector te bespioneren, hoewel de methoden ook zouden kunnen worden gebruikt voor industriële sabotage. De malware is meestal gekoppeld aan phishing-e-mails, hoewel de hackers recentelijk zijn geüpgraded naar 'watering hole'-methoden voor targeting: het in gevaar brengen van sites waarvan bekend is dat een target regelmatig voorkomt.De doelen worden vervolgens op een reeks omleidingen gestuurd totdat Oldrea of ​​Karagany in het systeem van een slachtoffer kan worden ingevoerd. In de latere stadia van hun campagne slaagden ze er zelfs in legitieme software te infecteren, die zoals gebruikelijk samen met ongewenste malware zou worden gedownload en geïnstalleerd.

Net als Stuxnet ervoor was de campagne van Dragonfly een van de eerste grote inspanningen om zich direct te richten op industriële besturingssystemen. In tegenstelling tot Stuxnet, dat zich alleen op het nucleaire programma van Iran richtte, was Dragonfly's campagne wijdverbreid, met langetermijnspionage en toegang als het primaire doel en het vermogen om serieuze sabotage te plegen als een optionele maar angstaanjagende mogelijkheid.

7Tailored Access Operations, NSA
Verenigde Staten van Amerika

In de nasleep van Stuxnet zou de VS niet achterblijven in het cyberoorlogs- en spionagespel. Het land behoudt zich het recht voor "alle noodzakelijke middelen te gebruiken - diplomatiek, informeel, militair en economisch - in voorkomend geval en in overeenstemming met de toepasselijke internationale wetgeving." De Amerikaanse door de staat gesponsorde hackinggroep is 'Tailored Access Operations' (TAO), geleid door de National Security Agency . Het is de groep die verantwoordelijk is voor de bekendheid van Edward Snowden na het Duitse tijdschrift Der Spiegel gelekte details die TAO onthulden en het feit dat de NSA telefonische gegevens had verzameld van duizenden Amerikanen en overzeese inlichtingendoelen.

Sinds ten minste 2008 was TAO ook in staat om pc-leveringen te onderscheppen (waar het de computer zou onderscheppen en spionagesoftware binnenin te plaatsen), misbruik te maken van hardware- en softwarekwetsbaarheden en hack-bedrijven die zo geavanceerd zijn als Microsoft (welk TAO zou hebben gedaan via de crashrapport-dialoog van Microsoft) kisten, samen met de gebruikelijke reeks uiterst geavanceerde cyberoorlogvoeringstechnieken).

De organisatie is tegenwoordig niet zo geheimzinnig en werknemers noteren zichzelf zelfs op LinkedIn, maar het is net zo druk - hopelijk tegen buitenlandse vijanden deze keer. Hun 600-medewerkers sterke primaire hoofdkantoor is gehuisvest in het belangrijkste NSA-complex in Fort Mead, Maryland. Om een ​​idee te krijgen van hun huidige activiteiten, vraag het maar aan Dean Schyvincht, die beweert een TAO Senior Computer Network Operator te zijn van het kantoor in Texas. Hij zegt dat er vanaf 2013 meer dan 54.000 Global Network Exploitation (GNE) -operaties zijn uitgevoerd ter ondersteuning van nationale inlichtingenagentievereisten, met een staf van slechts 14 mensen onder zijn leiding. We kunnen ons alleen maar voorstellen wat Fort Mead van plan is.

6Ajax Beveiligingsteam / Flying Kitten
Ik rende

Ajax begon in 2010 als een groep van "hacktivisten" en website-defacers uit Iran, maar ze gingen van activisme naar cyberspionage en het uitbreken van politieke dissidenten. Ze ontkennen dat ze door de staat zijn gesponsord, maar velen geloven dat ze zijn ingehuurd door de Iraanse regering - een steeds vaker voorkomend patroon waarbij een groep via haar openbare activiteiten de aandacht van een overheid krijgt om staatssteun te krijgen.

Ajax kwam onder de aandacht van beveiligingsbedrijven en groepen zoals CrowdStrike toen een reeks fouten (waarbij een van de onderzoekers het echte e-mailadres van een lid gaf) blootstond aan pogingen om de Amerikaanse defensie-industrie en Iraanse dissidenten te targeten. De firma FireEye is van mening dat Ajax verantwoordelijk was voor "Operation Saffron Rose" - een reeks phishing-aanvallen en pogingen om Microsoft Outlook Web Access- en VPN-pagina's te vervalsen om informatie en geloofsbrieven binnen de Amerikaanse defensie-industrie te verzamelen. De groep bracht ook dissidenten onder de aandacht door ze te lokken met corrupte anti-censuurgereedschappen.

Groepen als deze tonen een groeiend "grijs gebied tussen de cyberspionagemogelijkheden van Iraanse hackergroepen en elke directe Iraanse regering of militaire betrokkenheid." Deze vervagende lijn tussen groepen en regeringen zal waarschijnlijk in de toekomst duidelijker worden.


5APT28
Rusland

"APT" staat voor "advanced persistent threat", een aanduiding die wordt gebruikt in rapporten over hackergroepen door beveiligingsbedrijven. Soms - als er weinig anders is om door te gaan - zijn dergelijke groepen vernoemd naar deze rapporten. Dat is het geval met een gevaarlijke groep die "APT28" wordt genoemd en naar men aanneemt uit Rusland opereert. Het bedrijf is al sinds 2007 bezig met geavanceerde cyberspionage.

Rusland wordt beschouwd als een van 's werelds leiders in cyberoorlogvoering, maar het is moeilijk om overtuigend bewijs te vinden dat APT28 met Moskou verbindt. Volgens FireEye's vice-president van threat intelligence laat hun rapport zien dat de malware en tools die door APT28 worden gebruikt en gemaakt consistent wijzen op "Russische taalspecialisten die tijdens kantooruren werken die consistent zijn met de tijdzone van de belangrijkste Russische steden, inclusief Moskou en St. Petersburg .”

De groep gebruikte een reeks methoden en aanvallen op militaire en politieke doelen in de VS en Oost-Europa, waaronder specifiek waardevolle doelen voor Rusland, zoals Georgië. Het is zelfs gericht op de NAVO, en in een ander rapport heeft een functionaris van het Witte Huis bevestigd dat de groep zich een weg baant in niet-geclassificeerde White House-netwerken en mogelijk gericht is op Oekraïne.

4Unit 61398 / Comment Crew / Putter Panda
China

https://www.youtube.com/watch?v=YqiaVMCVCSQ

In 2013 bracht Mandiant een rapport uit dat claimde China met zijn hand te hebben gevangen in de informatiekoekjeskoek. Mandiant concludeerde dat een groep die werkte voor de elite Unit 61398 van het Chinese leger honderden terabytes aan gegevens van minstens 141 organisaties in Engelssprekende landen heeft gestolen. Mandiant baseerde deze beschuldiging op bewijsmateriaal, zoals Shanghai IP-adressen, computers met Vereenvoudigde Chinese taalinstellingen, en aanwijzingen dat er veel individuen in plaats van geautomatiseerde systemen achter de aanvallen zaten.

China verwierp de beweringen en zei dat het rapport 'niet gebaseerd is op feiten' en 'technisch bewijs ontbreekt'. Brad Glosserman, uitvoerend directeur van het Pacific Forum van het Centrum voor Strategische en Internationale Studies, weerlegde dit, erop wijzend dat het bewijsmateriaal - genomen samen met het type informatie gestolen - ondersteunt geen afwijzing. Mandiant wist zelfs waar de meeste aanvallen vandaan kwamen: een gebouw met 12 verdiepingen net buiten Shanghai, waar de hackers toegang hadden tot krachtige glasvezelkabels.

Ongeveer 20 high-profile hackergroepen zijn naar verluidt afkomstig uit China, en op zijn minst worden sommigen van hen geacht zich te melden bij het Volksbevrijdingsleger (Chinees leger). Dit omvat Comment Crew en Putter Panda, een hackergroep actief sinds 2007 die naar verluidt gewerkt heeft in PLA-gebouwen. Ze hebben in 2014 bijgedragen aan een voortdurende Amerikaanse aanklacht tegen een groep van vijf personen.

3Axiom
China

Een groepering van veiligheidsgerelateerde groepen waaronder Bit9, Microsoft, Symantec, ThreatConnect, Volexity en anderen hebben een andere gevaarlijke groep geïdentificeerd, die zij "Axiom" hebben genoemd. De groep is gespecialiseerd in bedrijfsspionage en het richten van politieke dissidenten, en het kan achter de aanval van 2010 op Google. Axioma wordt verondersteld uit China te komen, maar nog niemand heeft kunnen vaststellen waar op het vasteland van China de groep opereert. Een rapport van de coalitie stelde dat de activiteiten van Axiom overlappen met 'het verantwoordelijkheidsgebied' dat wordt toegeschreven aan de inlichtingendiensten van de Chinese overheid, een oordeel dat ook wordt ondersteund door een FBI-flits die is vrijgegeven aan Infragard.

In het rapport wordt Axiom beschreven als een mogelijke subgroep van een grotere naamloze groep die al meer dan zes jaar in bedrijf is en die zich voornamelijk richt op particuliere industrieën die invloed hebben op de economische sfeer. Ze gebruiken technieken die variëren van generieke malware-aanvallen tot geavanceerde hack-exploits die jaren in beslag kunnen nemen. Westerse regeringen, pro-democratie instellingen en dissidenten binnen en buiten China zijn ook doelwit geweest. Chinese ambassade woordvoerder Geng Shuang verklaarde dat "te oordelen naar ervaringen uit het verleden, dit soort rapporten of beschuldigingen meestal fictief zijn" en dat de regering in Beijing "er alles aan heeft gedaan om dergelijke activiteiten te bestrijden".

2 Bureau 121
Pyongyang, Noord-Korea

Inmiddels hebben de meeste mensen gehoord van de aanvallen op Sony Pictures door hackers die zichzelf 'Guardians of Peace' (GOP) noemen. De groep beweerde boos te zijn vanwege Het interview- een aankomende film waarin de grafische moord op Kim Jong-un, de leider van Noord-Korea, wordt verbeeld. Vredegevangenen bedreigden zelfs 9/11-achtige terroristische aanslagen tegen Sony-voorzieningen en bioscopen indien Het interview werd uitgebracht, samen met aanvallen op de betrokken acteurs en leidinggevenden. The GOP schreef: "Wat er de komende dagen komt, wordt genoemd door de hebzucht van Sony Pictures Entertainment. De hele wereld zal de SONY aanklagen. "

De banden met Noord-Korea hebben geleid tot beschuldigingen dat de natie zelf verantwoordelijk was voor ten minste enkele van de aanslagen. Dit heeft een groep die bekend staat als Bureau 121 in de media geduwd. Bureau 121 is een cyber warfare-kader van Noord-Koreaanse hackers en computerdeskundigen. Defectoren hebben beweerd dat de groep deel uitmaakt van het General Bureau of Reconnaissance, het militaire spionageagentschap van Noord-Korea. Het houdt zich bezig met door de staat gesponsorde hacks en sabotage namens de regering in Pyongyang tegen Zuid-Korea en heeft vijanden zoals de VS waargenomen. In 2013 werd een aanval op 30.000 pc's binnen Zuid-Koreaanse banken en omroepen aan de groep toegeschreven. Volgens sommigen omvat Bureau 121 ongeveer 1800 leden die als elites worden behandeld en van overvloedige prikkels worden voorzien, zoals rijke salarissen en het vermogen om hun families mee te nemen wanneer zij woonruimten in Pyongyang toegewezen krijgen. Defector Jang Se-yul, die beweert met de groep te hebben gestudeerd aan de militaire universiteit van Noord-Korea voor computerwetenschappen (University of Automation), vertelde Reuters dat er overzeese divisies van de groep bestaan, ingebed in legitieme bedrijven.

Maar is de regering van Noord-Korea echt achter de aanslagen? Een woordvoerder weigerde dit te verduidelijken door alleen te zeggen: "De vijandige strijdkrachten relateren alles aan de DVK (Noord-Korea). Ik adviseer u vriendelijk om even af ​​te wachten. "Het Witte Huis heeft CNN verteld dat zij" banden hebben gevonden met de Noord-Koreaanse overheid "en" een aantal opties overwegen om een ​​potentiële reactie af te wegen. "Hoe het ook zij, Sony stortte in in om de bedreigingen. Nadat veel theaters de kerstopening van de film hadden laten vallen, trok het bedrijf het voorgoed weg - een beweging die niet goed is voor de vrijheid van meningsuiting in een wereld waar elke cyberpester met genoeg hackvaardigheden zoiets weg kan krijgen. Opmerking: sinds het moment van schrijven heeft Sony de film in beperkte oplage uitgebracht.

1 Verborgen Lynx
China

"Hidden Lynx" (een naam gegeven door Symantec) is een van de nieuwste actieve groepen. Een rapport uit 2013 beschrijft hen als een uiterst georganiseerd en ervaren team van hackers (ongeveer 50-100 van hen) met een grote hoeveelheid middelen tot hun beschikking en het geduld om ze te gebruiken. Ze maken regelmatig gebruik van de nieuwste hackingtechnieken, inclusief het gebruik van 'watergaten', regelmatig, zo niet. Dit was een van de methoden die in 2013 werd gebruikt om het cloudgebaseerde beveiligingsbedrijf Bit9 te infiltreren in een poging toegang te krijgen tot hun clients.

Deze mensen houden zich niet alleen bezig met het verkrijgen van gamingreferenties, richten zich op peer-to-peer gebruikers of identiteitsdiefstal (hoewel ze dat allemaal ook doen).Ze gaan uit van enkele van de veiligste doelwitten ter wereld, waaronder defensie-industrieën, bedrijven op hoog niveau en regeringen van grote landen, met aanvallen gericht op de VS, China, Taiwan en Zuid-Korea. Ze zijn de typische Hollywood-achtige mercenary hacker-organisatie.

Alle indicaties lijken te duiden op China als de belangrijkste uitvalsbasis van Hidden Lynx, maar het is niet zeker of het een soort door de overheid gesponsorde entiteit of een krachtige huursoldaatgroep is. Hun geavanceerde vaardigheden en technieken, evenals het feit dat hun infrastructuur en commando- en controleservers allemaal hun oorsprong hebben in China, maken het hoogst onwaarschijnlijk dat de groep niet wordt ondersteund.