Wat militaire technologieën betreft, werd een evaluatie van het kwetsbaarheidsniveau van het hele systeem gelanceerd.
Washington. Chinese hackers vallen de systemen van aannemers van de Amerikaanse marine aan om alles te stelen, van scheepsonderhoudsgegevens tot informatie over de raketten die ze vervoeren, zeggen functionarissen en experts, wat aanleiding geeft tot een grondig onderzoek naar cyberkwetsbaarheden in de systemen van de bedrijven.
Een reeks cyberaanvallen van de afgelopen anderhalf jaar hebben zwakke punten in deze systemen blootgelegd en zijn volgens sommige functionarissen een van de meest schadelijke cybercampagnes in verband met Peking geworden.
Deze cyberaanvallen troffen alle takken van het Amerikaanse leger, maar aannemers van de Amerikaanse marine en luchtmacht waren blijkbaar van bijzonder belang voor hackers die op zoek waren naar geavanceerde militaire technologie.
Volgens een Amerikaanse functionaris zijn aannemers van de Amerikaanse marine het afgelopen jaar het zwaarst getroffen.
De gegevens die naar verluidt zijn gestolen van aannemers en onderaannemers van de Amerikaanse marine, vormen vaak uiterst waardevolle geheime informatie met betrekking tot geavanceerde militaire technologie. De slachtoffers van hackers zijn niet alleen grote, maar ook kleine bedrijven die simpelweg niet genoeg middelen hebben om te investeren in de bescherming van hun computersystemen.
Bij een van de grootste hacks, die in juni werd onthuld, werden geheime plannen gestolen voor een supersonische anti-scheepsraket die volgens Amerikaanse functionarissen op Amerikaanse onderzeeërs zou worden geïnstalleerd. Hackers vielen een naamloos bedrijf aan dat onder een contract werkte voor het Naval Undersea Warfare Center van de Amerikaanse marine in Newport.
Hackers hebben zich ook gericht op universiteiten die speciale laboratoria hebben voor het ontwikkelen van nieuwe technologieën die de marine en andere troepen kunnen gebruiken. Dit blijkt uit gegevens uit audits die zijn uitgevoerd door bedrijven die gespecialiseerd zijn in cyberbeveiligingsvraagstukken.
De Amerikaanse marinesecretaris Richard Spencer heeft opdracht gegeven tot een onderzoek naar zwakke punten in de systemen van zijn leger die tegenstanders kunnen helpen toegang te krijgen tot gevoelige informatie. De geheime resultaten van een eerste beoordeling van het probleem, die enkele dagen geleden aan de heer Spencer zijn verstrekt, bevestigen de geldigheid van het alarm en vormen de weg voor een reactie van de Amerikaanse marine, aldus functionarissen.
Marinefunctionarissen weigerden precies te zeggen hoeveel aanvallen er de afgelopen anderhalf jaar zijn uitgevoerd, maar ze zeiden wel dat het er “nogal wat” waren, en voegden eraan toe dat de aanvallen onaanvaardbaar zijn.
“Aanvallen op onze systemen zijn niets nieuws, maar pogingen om gevoelige informatie te stelen worden actiever en geavanceerder”, schreef Spencer in een memo die in oktober door de Wall-Street Journal werd verkregen. “We moeten resoluut optreden om de aard van deze aanvallen volledig te begrijpen en hoe we verder verlies van belangrijke informatie kunnen voorkomen.”
De memo van de heer Spencer maakt geen melding van China. Maar volgens functionarissen waren de slachtoffers van hackeraanvallen de bedrijven waarin China geïnteresseerd is. Bovendien lieten de hackers sporen achter die wijzen op de betrokkenheid van Peking.
Op vrijdag 14 december zeiden functionarissen van de Amerikaanse marine dat de memo van de heer Spencer “de ernst weerspiegelt waarmee de [Marine] prioriteit geeft aan cyberveiligheid in een tijdperk van hernieuwde machtsstrijd om ervoor te zorgen dat onze Marine en het Korps Mariniers onze militaire voorsprong op de VS kunnen behouden en vergroten. welke vijand dan ook.”
Chinese functionarissen hebben niet gereageerd op ons verzoek om commentaar, maar zij hebben elke betrokkenheid bij de cyberaanvallen ontkend.
Hoewel bij de meeste aanvallen hackers betrokken waren die gevoelige gegevens probeerden te stelen, zeggen marinefunctionarissen dat China ook wil laten zien dat het een ander soort dreiging kan vormen, ook al zijn de Chinese marine en luchtmacht inferieur aan die van Amerika.
“Ze richten zich op onze zwakke onderbuik”, zei een defensiefunctionaris. “Dit is een asymmetrische manier om de Verenigde Staten aan te vallen zonder het vuur te hoeven openen.”
Sporen die wijzen op Chinese hackers omvatten bewijs dat de malware op afstand wordt bestuurd vanaf een computeradres op het eiland Hainan, evenals het gedocumenteerde gebruik van een aantal tools die Chinese hackgroepen gemeen hebben.
Tom Bossert, die tot april de binnenlandse veiligheidsadviseur van president Trump was, zei dat de Chinezen om verschillende redenen het Amerikaanse leger en andere organisaties hebben gehackt – soms om Amerikaanse systemen te saboteren, soms om informatie te stelen, soms om concurrentievoordeel te behalen door diefstal van intellectuele eigendomsrechten. eigendom. Amerikaanse functionarissen zeggen dat ze over gevoelige bronnen en technieken beschikken waarmee ze met zekerheid kunnen vaststellen dat China verantwoordelijk is voor de hackaanvallen.
“Het is uiterst moeilijk voor het ministerie van Defensie om zijn eigen systemen te beschermen”, zei Bossert. “Het is een kwestie van vertrouwen en hoop om de systemen van haar aannemers en onderaannemers te beschermen.”
De analyse van de heer Spencer komt op een moment dat het ministerie van Defensie probeert zijn gigantische bureaucratie in de richting van meer verantwoorde cyberbeveiligingspraktijken te sturen en onderaannemers ervan te overtuigen hun systemen te beschermen.
Onderaannemers die voor verschillende takken van het leger werken, lopen vaak achter op het gebied van cyberveiligheid en zijn vaak het slachtoffer van hackaanvallen die andere takken teisteren, aldus een functionaris.
Hoge functionarissen van het Pentagon zijn van mening dat het proces voor het veiligstellen van projecten die in het belang van het leger worden uitgevoerd niet toestaat dat de verantwoordelijkheid voor cyberbeveiliging wordt toegewezen aan aannemers en onderaannemers.
De analyse van de heer Spencer valt samen met het streven van de regering-Trump om China verantwoordelijk te houden voor zijn voortdurende inspanningen om informatie van Amerikaanse bedrijven te stelen door middel van cyberaanvallen en de rekrutering van werknemers van die bedrijven voor economisch gewin en militaire ontwikkeling.
Chinese hackers worden beschuldigd van het stelen van miljarden dollars per jaar aan intellectueel eigendom van Amerikaanse bedrijven, en het Amerikaanse ministerie van Justitie heeft de afgelopen weken een hele reeks aanklachten ingediend, waarbij Peking de schuld krijgt. Er werd verwacht dat er deze week nog meer aanklachten tegen Chinese hackers zouden worden ingediend, maar deze werden opgeschort omdat hierdoor gevoelige gegevens openbaar zouden kunnen worden gemaakt. Bovendien zijn onderzoekers ervan overtuigd dat de hackeraanval die onlangs door Marriott International werd gerapporteerd het werk van de Chinezen was.
Cybersecurity-experts hebben vastgesteld dat het hacken van aannemers en onderaannemers van de Amerikaanse marine werd uitgevoerd door leden van een vermeend hackersteam van de Chinese overheid genaamd Temp.Periscope of Leviathan, dat vaak gebruik maakt van phishing-schema's om in te breken in computernetwerken.
Deze groep is in ieder geval sinds 2013 actief en richt zich vooral tegen Amerikaanse en Europese bedrijven.
De activiteit van Temp.Periscope daalde merkbaar in 2015 – rond de tijd dat de toenmalige Amerikaanse president Barack Obama en de Chinese leider Xi Jinping een bilaterale overeenkomst ondertekenden waarin zij beloofden zich te onthouden van economische spionage, en te midden van het proces van reorganisatie van het Chinese leger, zoals gerapporteerd door Amerikaanse bedrijf FireEye, dat de activiteiten van deze groep hackers nauwlettend in de gaten houdt. Medio 2017 was Temp.Periscope weer bezig.
De afgelopen weken hebben Amerikaanse functionarissen gezegd dat China is gestopt met het naleven van de voorwaarden van die overeenkomst.
Ben Read, een senior analist bij FireEye, merkte op dat Temp.Periscope een van de meest actieve Chinese hackgroepen is die zijn bedrijf het afgelopen jaar heeft gevolgd. De activiteiten van de groep waren in de eerste plaats gericht op bedrijven die banden hadden met de marine, maar voerden ook aanvallen uit op andere organisaties die verband konden houden met de strategische belangen van China in de Zuid-Chinese Zee, waaronder enkele Cambodjaanse politieke organisaties.
“Ook al hebben ze zich in de eerste plaats gericht op bedrijven die samenwerken met de marine, toch zijn ze in sommige opzichten een volwaardige inlichtingendienst,” zei de heer Reed.
Het merendeel van de gerichte aanvallen van de afgelopen jaren leidt naar Azië, waar de servers van Shanghai als lichtpuntje opvallen. Tijdens onderzoeken noteren experts markeringen zoals Chinese IP-adressen, tijdstempels, taalinstellingen en software die specifiek is voor China. In dit artikel proberen we te achterhalen wie deze hackeraanvallen organiseert en welke specifieke hackergroepen erachter zitten.
Het onderzoek naar grootschalige gerichte aanvallen duurt soms vele jaren, waardoor de details van de implementatie ervan niet onmiddellijk bekend zijn. Tegen de tijd dat ze worden gepubliceerd, zijn in de regel alle gebruikte kwetsbaarheden gepatcht, zijn kwaadaardige componenten aan antivirusdatabases toegevoegd en zijn C&C-servers geblokkeerd. Wat echter interessant is aan dergelijke rapporten zijn de methoden die met kleine wijzigingen nog steeds worden gebruikt bij nieuwe aanvallen.
Chinese hackergroep APT1 (ook bekend als Comment Crew)
Deze hackergroep kreeg identificatienummer één en heeft grotendeels bijgedragen aan de popularisering van de term APT-aanval: Advanced Persistent Threat. Het vestigde een soort record voor de hoeveelheid gegevens die van één organisatie werd gestolen: in tien maanden tijd downloadde APT1 6,5 TB aan documenten van gehackte servers.
Er is veel bewijs dat APT1 is gecreëerd door het Chinese Ministerie van Defensie op basis van eenheid 61398 van het People's Liberation Army of China (PLA). Volgens FireEye-experts opereert het sinds 2006 als een aparte structuur van het Derde Directoraat van de Generale Staf van de PLA. Gedurende deze tijd voerde APT1 minstens 141 gerichte aanvallen uit. Het is moeilijk om een exact aantal te geven, omdat sommige in de doofpot worden gestopt en het bij bekende aanvallen niet altijd mogelijk is om te bewijzen dat ze tot een specifieke groep behoren.
APT1-activiteit per regio, afbeelding: fireeye.com
In overeenstemming met de doctrine van het politieke leiderschap van het land om ‘informatieoorlogen te winnen’ werd APT1 in 2016 hervormd en versterkt.
De bouw van de nieuwe APT1-basis begint in 2013, foto: DigitalGlobeNu heeft het enkele duizenden mensen in dienst. Bestaat voornamelijk uit afgestudeerden van de Zhejiang Universiteit en de Harbin Polytechnische Universiteit met een goede kennis van het Engels.
Geografisch gezien heeft APT1 zijn hoofdkantoor in Pudong (een nieuw gebied van Shanghai), waar het eigenaar is van een groot gebouwencomplex. De ingangen ervan worden bewaakt en de hele perimeter is onderworpen aan toegangscontrole, net als op een militaire basis.
Versnellingsbak gebaseerd op APT1, foto: city8.comOm de actieve fase van de aanval te versnellen en de sporen ervan uit te wissen, gebruikte APT1 ‘boost-vliegvelden’: geïnfecteerde computers die werden bestuurd via RDP- en FTP-servers die de lading hostten. Ze bevonden zich allemaal geografisch in dezelfde regio waar de doelen zich bevonden.
Gedurende een observatieperiode van twee jaar ontdekte FireEye 1.905 gevallen van dergelijke tussenliggende knooppunten van 832 verschillende IP-adressen, waarvan 817 naar de Shanghai-netwerken van China Unicom en China Telecom leidden, en Whois-registratiegegevens verwezen rechtstreeks naar Pudong, waar, in Naast het hoofdkantoor van APT1 zijn er geen organisaties van vergelijkbare omvang.
Deze tussenliggende knooppunten werden doorgaans beheerd met behulp van een HTRAN-proxy (HUC Packet Transmit Tool) van 937 verschillende servers die werden beheerd door APT1.
Bij zijn aanvallen gebruikte APT1 42 achterdeurtjes van verschillende families. Sommigen van hen zijn lang geleden geschreven, gedistribueerd op het darknet of op bestelling aangepast (Poison Ivy, Gh0st RAT en anderen), maar onder deze set vallen Backdoor.Wualess en de latere wijzigingen op. Dit lijkt de eigen ontwikkeling van APT1 te zijn.
Net als bij andere gerichte aanvallen werd in APT1-scenario’s de lading op de computers van de slachtoffers afgeleverd met behulp van social engineering-methoden (met name spear phishing). De belangrijkste functionaliteit van de Wualess-achterdeur bevond zich in de wuauclt.dll-bibliotheek, die de Trojan-dropper uit de geïnfecteerde e-mail op doel-Windows-computers in de systeemmap (%SYSTEMROOT%\wuauclt.dll) plaatste.
De achterdeur controleerde vervolgens op eerdere infecties en registreerde zichzelf indien nodig als service in het register:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP-poort 5202;
- sb.hugesoft.org, TCP-poort 443.
Deze laatste poort wordt standaard door browsers gebruikt voor HTTPS-verbindingen en wordt dus meestal niet geblokkeerd door firewalls.
Na ontvangst van het commando voerde de achterdeur een van de volgende acties uit:
- controleerde de verbindingssnelheid;
- gegevens over het systeem en gebruikers verzameld en verzonden;
- een screenshot gemaakt en verzonden;
- de DNS-cache gewist en de vermeldingen erin vervangen;
- de volgende malware gedownload en gelanceerd;
- beëindigde de gespecificeerde processen in het geheugen;
- bestanden gezocht en verzonden die aan de opgegeven criteria voldeden (voornamelijk documenten in kantoorformaten en archieven);
- mijn versie bijgewerkt;
- heeft een kopie ervan opgeslagen op een herstelpunt (Systeemvolume-informatie)
Deze laatste functie maakte het moeilijk om de achterdeur volledig te verwijderen, omdat het besturingssysteem meestal de toegang tot de map \System Volume Information\ blokkeerde.
Latere wijzigingen (bijvoorbeeld Wualess.D) gebruikten willekeurige bestandsnamen, een grote reeks poortnummers om verbinding te maken met C&C-servers, en draaiden als een verborgen kopie van het iexplore.exe-proces.
Een ander kenmerkend kenmerk van APT1 was het gebruik van WEBC2-backdoors. Ze hebben een minimaal aantal functies (voornamelijk gebruikt om informatie te verzamelen) en maken verbinding met controleservers zoals een browser. De achterdeur ontvangt een webpagina van de server, waarvan de tags besturingsopdrachten bevatten. Dergelijk verkeer lijkt op gebruikersnetwerkactiviteit en wekt meestal geen argwaan bij gedragsanalysatoren van beveiligingssystemen.
Naast andere die door APT1 worden gebruikt, vallen de backdoors MaCroMaIL (imiteert de werking van MSN Messenger), GLooxMaIL (imiteert de Jabber/XMPP-client) en CaLenDar (de gegevensuitwisseling is vergelijkbaar met de synchronisatie van een Google-agenda) op door het verbinden naar C&C-servers.
Om informatie over geïnfecteerde computers te verzamelen, gebruikte APT1 ingebouwde Windows-tools, die werden aangeroepen via een batchbestand (.bat) dat op commando door de achterdeur werd aangemaakt. Laat me je eraan herinneren dat het > teken aangeeft dat de uitvoer naar een bestand wordt omgeleid in plaats van deze op het scherm weer te geven, en dat de extensie van het logbestand er niet toe doet, aangezien het intern een platte tekstindeling is in ASCII/DOS-codering.
@echo uit // Schakel opdrachtuitvoer uit ipconfig /all>%TEMP%\ipconfig. loggen // Slaat volledige IP-protocolconfiguratie-informatie op, een lijst met alle netwerkadapters en hun MAC-adressen netstat -ano > %TEMP%\netstat. loggen // Toont alle netwerkverbindingen en open poorten, waarbij elke proces-ID en netwerkadressen in numeriek formaat worden aangegeven netto start > %TEMP%\services. loggen // Geeft een overzicht van alle actieve Windows-services takenlijst /v>%TEMP%\taken. lst // Genereert een lijst met alle actieve processen en de computerbronnen die ze verbruiken nettogebruiker > %TEMP%\gebruikers. lst // Slaat een lijst met Windows-accounts op uit de lokale database net localgroup-beheerders > %TEMP%\admins. lst // Toont een lijst met accounts die lid zijn van de lokale groep Administrators nettogebruik > %TEMP%\shares. netto // Toont een lijst met verbindingen met netwerkshares nettoweergave > %TEMP%\hosts. dmn // Toont een lijst met hosts in het huidige domein of netwerk |
Gebruik ook de juiste commando's zoals net group
Het was dankzij de primitiviteit dat deze methode om informatie te verzamelen feilloos werkte. Ingebouwde diagnostische hulpprogramma's zijn beschikbaar op elke computer met elke versie van Windows. De %TEMP% variabele elimineert de noodzaak om naar een map te zoeken om logbestanden op te slaan. Elke gebruiker (en een achterdeur die met zijn rechten draait) kan naar de map schrijven voor tijdelijke bestanden. Geen enkele antivirus klaagt over bestanden in tekstformaat (vooral standaardlogboeken), en voor de gebruiker zien ze er volkomen onschadelijk uit - zoiets als het verzamelen van telemetrie van Microsoft of routinematige beheerderscontroles.
Het enige verschil was dat de verzamelde logbestanden vervolgens in een .rar-archief werden verpakt en naar APT1-servers werden gestuurd om verdere doelen te selecteren. Om de analyse van gegevenslekken te bemoeilijken, werd het .rar-archief met logbestanden gemaakt met de schakeloptie -hp (geeft aan dat niet alleen de inhoud moet worden gecodeerd, maar ook de bestandsnamen zelf).
Na het verzamelen van systeemrapporten begon de volgende fase van de aanval met het verkrijgen van gebruikerswachtwoorden. In principe maakte deze stap ook gebruik van openbaar beschikbare hulpprogramma's die de achterdeur lanceerde op commando van de C&C-server:
- programma voor het verzamelen van NTLM-wachtwoordhashes in Windows fgdump;
- wachtwoord-hash-dumper pwdump7;
- gsecdump en andere hulpprogramma's van TrueSec;
- pass-the-hash toolkit en andere tools van .
Ze worden allemaal herkend als geen virus of hacktool en activeren geen antivirusprogramma's met de juiste instellingen (negeer hulpprogramma's voor wachtwoordcontrole).
Door een hash-wachtwoordpaar te vinden (meestal met behulp van eenvoudige woordenboekaanvallen), kon APT1 op afstand alle acties uitvoeren namens een echte bedrijfsmedewerker. Dit omvat het verzenden van nieuwe phishing-e-mails vanaf zijn adres en via zijn account op het bedrijfsnetwerk (en ook via zijn VPN-account) om de computers van management- en partnerorganisaties aan te vallen. Zij en de gegevens die daarop zijn opgeslagen, werden het uiteindelijke doel. In totaal is APT1 verantwoordelijk voor het stelen van informatie over hightech-ontwikkelingen van ruim honderd grote internationale bedrijven en aangesloten universiteiten. Veel doelen werden meerdere keren met succes aangevallen.
Chinese hackergroep APT3 (UPS-team)
Vermoedelijk geassocieerd met MSS - Ministerie van Staatsveiligheid van de Volksrepubliek China. Werkt via het China Information Technology Evaluation Center (CNITSEC) en het Guangdong ITSEC Security Center.
Het is in het zakencentrum van Guangdong - Huapu Square West Tower waar sporen van verschillende grote gerichte aanvallen tegelijk leiden. Het is het hoofdkantoor van Boyusec, dat samen met Huawei en ZTE samenwerkt met Shanghai Adups Technology, een belangrijke partner van CNITSEC. 
Op de een of andere manier is APT3 de technisch meest geavanceerde groep. Maakt gebruik van 0day-kwetsbaarheden en aangepaste achterdeurtjes bij aanvallen, waarbij voortdurend de set C&C-servers, tools en gebruikte methoden wordt gewijzigd. De aanpak ervan wordt goed geïllustreerd door drie grote gerichte aanvallen, die hieronder in meer detail zullen worden besproken.
Operatie "Underground Fox"
Een APT genaamd Operatie Clandestine Fox begon in het voorjaar van 2014. Het beïnvloedde IE van versie zes tot en met elf, wat volgens NetMarketShare op dat moment in totaal ongeveer een derde van alle browsers besloeg.
Clandestiene Fox misbruikte de kwetsbaarheid CVE-2014-1776, die leidt tot een use-after-free-aanval met behulp van de heap.
Dynamisch geheugen, of heap, is zo ontworpen dat het voortdurend in grote blokken wordt overschreven. Wanneer een verzoek om het volgende vrije blok wordt gedaan, retourneert de heapmanager doorgaans het adres van het blok dat zojuist door een object is vrijgegeven (vooral als het dezelfde grootte heeft).
De essentie van de Use-after-free-aanval is dat nadat een object geheugen heeft vrijgemaakt, er nog enige tijd naar het adres van zijn blok wordt verwezen door de ptr-pointer wanneer methoden van dit object worden aangeroepen. Als we eerst een dynamische geheugentoewijzing aanvragen en vervolgens een methode proberen aan te roepen op het nieuw vrijgekomen object, zal de heapmanager hoogstwaarschijnlijk het oude adres retourneren. Als u een verwijzing naar kwaadaardige code in de virtuele methodetabel (VMT) plaatst en de VMT zelf naar het begin van een nieuw geheugenblok schrijft, wordt de malware gestart wanneer een methode van een object dat daar eerder is opgeslagen, wordt aangeroepen.
Het Randomized Memory Allocation Mechanism (ASLR) is ontworpen om een dergelijk aanvalsscenario te voorkomen. Operatie Clandestine Fox gebruikte echter eenvoudige methoden om dit te omzeilen.
De eenvoudigste is om modules te gebruiken die ASLR niet ondersteunen. Bijvoorbeeld de oude MSVCR71.DLL- en HXDS.DLL-bibliotheken, die zijn gecompileerd zonder de nieuwe /DYNAMICBASE-optie. Ze worden op dezelfde adressen in het geheugen geladen en waren op het moment van de aanval op de meeste computers aanwezig. MSVCR71.DLL wordt geladen door IE in Windows 7 (met name wanneer u probeert een helppagina te openen die begint met ms-help://), en HXDS.DLL wordt geladen wanneer MS Office 2007- en 2010-toepassingen worden uitgevoerd.
Bovendien gebruikte Clandestine Fox een techniek om het Data Execution Prevention (DEP)-systeem te omzeilen, waarvan de details pas bekend werden tijdens de analyse van de volgende aanval door de APT3-groep.
Operatie Ondergrondse Wolf
De phishing-campagne Clandestine Wolf was een voortzetting van de ‘underground fox’-campagne van APT3 in 2015. Het werd een van de meest effectieve omdat het misbruik maakte van een bufferoverflow-bug in Adobe Flash Player, waarvoor destijds geen patch bestond. De CVE-2015-3113-kwetsbaarheid trof op dat moment alle huidige versies van de speler voor Windows, OS X en Linux. Hierdoor kon willekeurige code worden uitgevoerd zonder enige gebruikersinteractie en werden beveiligingssystemen omzeild.
In de mailinglijst lokte APT3 met een aanbod om refurbished iMacs tegen een gereduceerde prijs te kopen. De link in de e-mail leidde naar een webpagina met een flv-bestand waarop de exploit werd gestart. Interessant is dat de exploit de ingebouwde DEP-bescherming (Data Execution Prevention) omzeilde, de controle over de call-stack onderschepte en een return-georiënteerde programmeeraanval (ROP) uitvoerde. Deze aanval riep de VirtualAlloc-functie van Kernel32.dll aan en creëerde verwijzingen naar de ingebedde shellcode, en markeerde deze als uitvoerbaar.
De exploit omzeilde ook de tweede beschermingslaag door gebruik te maken van bekende fouten in Address Space Randomization (ASLR) en uitvoerbare code in andere processen te injecteren (voornamelijk de browserthread).
Om de ROP-aanval te verbergen, werd de exploit op de webpagina gecodeerd (RC4) en werd de sleutel om deze te decoderen door een script uit een nabijgelegen afbeelding gehaald. Daarom heeft een antivirusscan van de geïnfecteerde webpagina ook niets verdachts gedetecteerd.
Hierdoor hoefde de gebruiker alleen maar op de link te klikken om de backdoor op zijn computer te installeren. Noch de ingebouwde beveiligingsmethoden in het besturingssysteem en de browser, noch individuele antivirusprogramma's konden bescherming bieden tegen de 0day-exploit.
Dubbeltikbediening
De Double Tap-phishingcampagne vond plaats in het najaar van 2014 en maakte gebruik van twee recente kwetsbaarheden:
Door het eerste beveiligingslek kunt u de arraygroottes wijzigen die door de VBScript-engine zijn opgegeven vanwege een fout in de SafeArrayRedim-functie van de OleAut32.dll-bibliotheek. De tweede heeft betrekking op het systeemstuurprogramma win32k.sys en leidt tot escalatie van bevoegdheden op Windows-kernelniveau.
De exploits werden gelanceerd met behulp van een iframe-element dat was ingebed in de pagina's van gehackte websites en in HTML-e-mails. Deze keer was het lokaas een aanbieding voor een gratis maandabonnement op de Playboy-club, dat onbeperkte toegang gaf tot foto's in hoge resolutie en Full HD-clips. De link leidde naar het nepdomein playboysplus.com.
Nadat erop was geklikt, werd het bestand install.exe, 46 KB groot, naar de computer gedownload. Dit is een Trojan-dropper die geen kwaadaardige functies bevat en op het moment van het begin van de aanval niet werd gedetecteerd door antivirusprogramma's, noch door handtekening noch door heuristische analyse. Er zijn twee bestanden gemaakt: doc.exe en test.exe in de gedeelde gebruikersmap C:\Users\Public\ . Dit hardgecodeerde pad ontbrak op sommige computers, waardoor ze niet geïnfecteerd konden raken. Het was voldoende om in plaats daarvan een variabele te gebruiken (bijvoorbeeld %USERPROFILE% of %TEMP%), zodat een dergelijke complexe aanval niet meteen aan het begin zou stagneren vanwege een misverstand met absolute paden.
Het doc.exe-bestand ondersteunde 64-bits architectuur en bevatte een exploit voor de CVE-2014-4113-kwetsbaarheid. Het was nodig om te proberen de achterdeur test.exe met systeemrechten te starten. Verificatie van een succesvolle lancering werd uitgevoerd met behulp van de whoami-consoleopdracht.
Test.exe bevatte op zijn beurt code om misbruik te maken van de kwetsbaarheid CVE-2014-6332, een wijziging van een andere populaire exploit in Metasploit.
Als dit lukt, installeert de achterdeur een SOCKS5-proxy en stuurt een kort verzoek (05 01 00) naar de C&C-server van het eerste niveau op 192.157.198.103, TCP-poort 1913. Als deze reageert met 05 00, maakt de achterdeur verbinding met het tweede niveau C&C-server op 192.184.60.229, TCP-poort 81. Vervolgens luisterde hij naar de drie-byte-opdrachten en voerde deze uit.
Naarmate de aanval vorderde, kreeg de achterdeur een upgrade en latere antivirusprogramma's begonnen deze te detecteren als Backdoor.APT.CookieCutter, ook bekend als Pirpi.rundll32. exe "%USERPROFILE%\Applicatiegegevens\mt.dat" UpdvaMt
Rundll32 is een consolehulpprogramma waarmee u expliciet gedefinieerde functies kunt aanroepen die zijn geëxporteerd vanuit dynamische bibliotheken (DLL's). Het werd oorspronkelijk gemaakt voor intern gebruik bij Microsoft, maar werd vervolgens onderdeel van Windows (vanaf 95). Als andere middelen alleen toegang kunnen krijgen tot een bibliotheek met de juiste extensie, negeert Rundll32 bestandsextensies.
Conclusies
Afgaande op de opkomende feiten werken grote teams van professionele hackers voor de Chinese overheid op het gebied van cybersecurity. Sommigen van hen worden officieel beschouwd als legereenheden: ze krijgen toegang tot staatsgeheimen en worden op gelijke voet beschermd als stafseigners. Anderen opereren via commerciële bedrijven en voeren aanvallen rechtstreeks vanuit het zakencentrum uit. Weer anderen zijn burgergroepen die regelmatig wisselen. Het lijkt erop dat laatstgenoemden de smerigste zaken worden toevertrouwd, waarna sommige worden overgedragen aan wetshandhavingsinstanties om de reputatie van de regerende partij witter te maken. Bij een lekke band worden zij eenvoudigweg als dader aangewezen en worden de volgende ingehuurd.
Persoonlijke gegevens van Duitse politici verschenen op internet
Zoals bekend werd op 4 januari, eind 2018, verschenen op Twitter links naar persoonlijke gegevens – waaronder paspoorten en creditcards – van 994 Duitse politici, acteurs, journalisten en muzikanten. Al op 6 januari werd een 20-jarige middelbare scholier in Hessen gearresteerd op verdenking van het plegen van een inbraak. Volgens de politie bracht hij veel tijd achter de computer door, maar heeft hij geen speciaal onderwijs genoten.
Russische "beren"
De afgelopen jaren is nieuws over hackers en cyberaanvallen gemeengoed geworden. Vaak wordt het auteurschap van hacks toegeschreven aan verschillende groepen hackers: Cosy Bear (letterlijk "gezellige beer", ook bekend als APT29), Fancy Bear ("modieuze beer", APT28) en Energetic Bear ("energiebeer"), die worden geassocieerd met Russische inlichtingendiensten. Het bewijs is indirect, maar elke keer komt er steeds meer van.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Aanvallen op Amerikaanse en Duitse elektriciteitsnetten
In de zomer van 2018 werd bekend over aanvallen van de hackergroep Energetic Bear op de elektriciteitsnetten van de Verenigde Staten en Duitsland. Volgens Amerikaanse inlichtingendiensten bereikten inbrekers in de Verenigde Staten zelfs het stadium waarin ze de elektriciteit aan en uit konden zetten en de energiestromen konden verstoren. In Duitsland slaagden hackers erin de netwerken van slechts enkele bedrijven binnen te dringen voordat de Duitse inlichtingendiensten de situatie onder controle kregen.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
De VS beschuldigden GRU-officieren van cyberaanvallen
Op 13 juli 2018 beschuldigde het Amerikaanse ministerie van Justitie (op de foto het kantoor van het ministerie in Washington) twaalf Russische burgers van pogingen zich te bemoeien met de Amerikaanse presidentsverkiezingen van 2016. Volgens onderzoekers hebben medewerkers van het Main Intelligence Directorate (GRU) van de generale staf van de Russische strijdkrachten deelgenomen aan het hacken van de computersystemen van de Democratische Partij en het campagnehoofdkwartier van Hillary Clinton.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
De VS en Groot-Brittannië beschuldigen de Russische Federatie van een grootschalige cyberaanval
De FBI, het Amerikaanse ministerie van Binnenlandse Veiligheid en het Britse National Computer Security Center zeiden op 16 april 2018 dat Russische hackers overheidsinstanties en particuliere bedrijven hebben aangevallen in een poging intellectueel eigendom in beslag te nemen en toegang te krijgen tot de netwerken van hun slachtoffers. De Australische minister van Defensie Marise Payne uitte dezelfde dag soortgelijke beschuldigingen.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Bad Rabbit trof Rusland en Oekraïne
Het nieuwe Bad Rabbit-virus trof op 24 oktober de servers van verschillende Russische mediakanalen. Daarnaast vielen hackers verschillende overheidsinstanties in Oekraïne aan, evenals de metrosystemen van Kiev, het ministerie van Infrastructuur en de luchthaven van Odessa. Eerder werden aanvallen van Bad Rabbit geregistreerd in Turkije en Duitsland. Experts zijn van mening dat het virus wordt verspreid via een methode die vergelijkbaar is met ExPetr (ook bekend als Petya).
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Cyberaanval van de eeuw
Op 12 mei 2017 werd bekend dat tienduizenden computers in 74 landen het slachtoffer waren van een cyberaanval van ongekende omvang. Het WannaCry-virus versleutelt gegevens op computers, hackers beloven de blokkering op te heffen voor een losgeld van $300 in bitcoins. Vooral medische instellingen in Groot-Brittannië, de Deutsche Bahn in Duitsland, computers van het Russische Ministerie van Binnenlandse Zaken, de Onderzoekscommissie en de Russische Spoorwegen, maar ook Spanje, India en andere landen werden getroffen.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Petya-virus
In juni 2017 werden over de hele wereld aanvallen van het krachtige Petya.A-virus geregistreerd. Het legde het werk van de servers van de Oekraïense regering, het nationale postkantoor en de metro van Kiev lam. Het virus trof ook een aantal bedrijven in de Russische Federatie. Computers in Duitsland, Groot-Brittannië, Denemarken, Nederland en de VS raakten besmet. Er is geen informatie over wie er achter de verspreiding van het virus zat.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Aanval op de Bondsdag
In mei 2015 werd ontdekt dat hackers met een kwaadaardig programma (Trojan) het interne computernetwerk van de Bondsdag waren binnengedrongen. IT-experts ontdekten bij deze aanval sporen van de APT28-groep. De Russische afkomst van de hackers werd onder meer ondersteund door de Russischtalige instellingen van het virusprogramma en het tijdstip van hun operaties, dat samenviel met de kantooruren in Moskou.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Tegen Hillary
Tijdens de verkiezingsrace om het Amerikaanse presidentschap hebben hackers tweemaal toegang gekregen tot de servers van de Democratische Partij van kandidaat Hillary Clinton. Amerikaanse inlichtingendiensten en IT-bedrijven stelden vast dat vertegenwoordigers van Cosy Bear in de zomer van 2015 optraden, en Fancy Bear in het voorjaar van 2016. Volgens Amerikaanse inlichtingendiensten waren de cyberaanvallen goedgekeurd door hoge Russische functionarissen.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Merkels partij onder vuur
In mei 2016 werd bekend dat het hoofdkwartier van de Christen-Democratische Unie (CDU), de partij van de Duitse bondskanselier Angela Merkel, het slachtoffer was van een hackeraanval. IT-specialisten beweerden dat de hackers van Cozy Bear probeerden toegang te krijgen tot de CDU-databases met behulp van phishing (het verzenden van e-mails met links naar sites die niet van echt te onderscheiden zijn), maar dat deze pogingen niet succesvol waren.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
Doping-hack
In september 2016 meldde het Wereldantidopingagentschap (WADA) dat zijn database was gehackt. De Fancy Bear-groep plaatste documenten op internet met een lijst van atleten die van het WADA toestemming kregen om medicijnen van de verboden lijst (therapeutische uitzonderingen) te gebruiken in verband met de behandeling van ziekten. Onder hen waren de Amerikaanse tennissers Serena en Venus Williams en turnster Simone Biles.
Hack mij volledig: spraakmakende cyberaanvallen en datalekken van de afgelopen jaren
500 miljoen Yahoo-accounts
In februari 2017 heeft het Amerikaanse ministerie van Justitie aanklachten ingediend tegen twee FSB-functionarissen Dmitry Dokuchaev en Igor Sushchin wegens diefstal van gegevens van meer dan 500 miljoen Yahoo-accounts. De cyberaanval vond eind 2014 plaats. Volgens het Openbaar Ministerie hebben FSB-medewerkers hiervoor twee hackers ingehuurd. Onder de slachtoffers van de hack bevonden zich Russische journalisten, overheidsfunctionarissen uit Rusland en de Verenigde Staten, en vele anderen.
Chinese hackers, die samenwerken met de Chinese staatsinlichtingendiensten, zijn met hernieuwde kracht actiever geworden en zijn opnieuw frequente onderwerpen geworden van Amerikaanse mediaberichten over grootschalige bedreigingen. Ze bespioneren het leger van andere landen en stelen hun strategische ontwikkelingen, bespioneren grote bedrijven en nemen internetnetwerken over. Ze zijn al betrapt op het stelen van Amerikaanse wapenontwikkelingen en het hacken van satellietsystemen in de ruimte. Hoe cybercriminelen uit China grote landen terroriseren - in het materiaal.
Het afgelopen jaar zijn internetspionnen uit China betrapt op het aanvallen van verschillende Amerikaanse infrastructuren tegelijk. De ruimtevaart- en telecommunicatie-industrie, evenals de computernetwerken van de marine, werden getroffen. Al het bewijsmateriaal wijst erop dat de aanval niet alleen door gewone hackers werd uitgevoerd, maar door fulltime militaire inlichtingenofficieren, wier bestaan de Chinese regering blijft ontkennen.
Bug in de klier
Begin oktober 2018 meldden Bloomberg-bronnen dat de Chinese militaire inlichtingendienst al jaren bijna dertig Amerikaanse organisaties bespioneerde. Onder de slachtoffers bevonden zich commerciële IT-reuzen Apple en Apple, grote financiële organisaties en militaire overheidscontractanten. In de apparatuur van de bedrijven waren microchips ingebouwd die niet in het pakket waren inbegrepen. Het materiaal stelde dat tijdens de productie buitenlandse apparaten ter grootte van een rijstkorrel in de borden konden worden opgenomen, die gegevens konden uitwisselen met externe bronnen en het apparaat konden voorbereiden op transcodering. De technologiebedrijven zelf ontkenden deze informatie.
Het bleek dat spionageapparatuur in Supermicro-servers was ingebed. Het bedrijf is de belangrijkste leverancier van platen op de markt. Een voormalige Amerikaanse inlichtingenofficier, die anoniem wilde blijven, noemde het bedrijf 'in de softwarewereld'. “Dit is als een aanval op de hele wereld”, concludeerde hij. Voorafgaand hieraan berichtten anonieme bronnen over de plannen van de Volksrepubliek China om hardware te infiltreren die bedoeld was voor Amerikaanse bedrijven. Onder de risicovolle partners bevonden zich de Chinese giganten Huawei en ZTE, die naar verluidt nauw samenwerken met het Chinese leger. Bij gebrek aan precedenten kon echter tegen niemand een aanklacht worden ingediend. De Chinese overheid reageerde door te zeggen dat zij een sterke verdediger van computerbeveiliging is.
Experts op het gebied van cybersecurity merkten op dat ze soortgelijke ‘bugs’ al waren tegengekomen in hardware van andere fabrikanten. Al deze apparatuur is geproduceerd in China. Dergelijke chips kunnen de activiteiten van een bedrijf jarenlang in stilte monitoren en zijn onzichtbaar voor virtuele beveiligingssystemen. Later bleek dat bedrijfsgeheimen niet de enige interesse van hackers waren: ook gevoelige overheidsnetwerken werden aangevallen.
De onthullingen hebben de toch al gespannen betrekkingen tussen de VS en China gecompliceerd. Op 10 oktober arresteerde het Amerikaanse ministerie van Justitie een hoge functionaris van het Chinese ministerie van Staatsveiligheid, Xu Yanjun. Hij wordt beschuldigd van economische spionage. De man werd op 1 april in België aangehouden en op verzoek van de Amerikaanse autoriteiten uitgeleverd. China heeft de beschuldigingen tegen Xu verzonnen genoemd.
Dmitry Kosyrev, politiek commentator bij MIA Rossiya Segodnya
De jacht op “Russische hackers” in Amerika wordt niet alleen uitgevoerd vanuit Russofobie: het is nog steeds onbekend wie het meest gevreesd wordt: wij of de Chinezen. Er zijn talloze verhalen over Chinese hackers die ‘de Verenigde Staten bedreigen’, maar wij in Rusland merken het om voor de hand liggende redenen niet op, maar de Volksrepubliek China besteedt er aandacht aan.
Bijvoorbeeld
Hier is in wezen gewoon materiaal uit het Amerikaanse tijdschrift Foreign Policy. Amerikaanse aanklagers hebben een groep hackers ontdekt die banden hebben met de Chinese staat en hebben de verdachten aangeklaagd. Hun bedrijf "Boyuysek" is al gesloten.
Drie computergenieën (hun achternamen zijn Wu, Dong en Xia) zouden de systemen hebben gehackt van de Amerikaanse divisie van Siemens, het ratingbureau Moody’s en Trimble, dat zich bezighoudt met GPS-navigatie. Wie het ook overkomt - misschien zijn ze gehackt, maar bekende deuntjes begonnen te klinken. Letterlijk: "Het verzamelen van bewijsmateriaal en onderzoeken door een particulier beveiligingsbedrijf suggereert dat het bedrijf een dochteronderneming is van het machtige Chinese ministerie van Staatsveiligheid en lijkt te opereren als een dekmantel voor cyberspionage."
Een naamloos particulier bedrijf “suggereert” dat het “blijkbaar” zoiets heeft... Maar kunt u geen preciezere feiten vinden? En als die er niet zijn, waarom zou je er dan naar verwijzen? En dan, wat is er zo eng. Zoiets als met de ‘Russische hackers’ die, net als Pokemon, al bijna een jaar worden betrapt in het Amerikaanse Congres, en daar is het hetzelfde: iemand ‘vraagt’ en ‘blijkbaar’.
Het verhaal is zelfs enigszins aanstootgevend: we dachten dat de Russen het monopolie hadden op hacken in de Verenigde Staten. Maar het blijkt dat de Chinezen het ons afnemen.
‘Sinofobie’ brengt trouwens niet alleen Amerika in beroering. Er is ook een verre provincie van de wereldpolitiek: Australië. In de Beijing-editie van de Global Times wordt verteld hoe een verhaal vergelijkbaar met dat in de Verenigde Staten zich nu in Australië afspeelt, en wel op hoog politiek niveau. Senator Sam Dastyari verliet zijn posten in het plaatselijke congres. Hij vertelde (opnieuw “naar verluidt”) aan een Chinese zakenman genaamd Huang Xiangmo dat hij in de gaten werd gehouden door Australische inlichtingendiensten. Nogmaals, niemand heeft bewijs, maar aangezien zij het ‘bevestigen’, heeft de senator maar één keuze: aftreden. En premier Malcolm Turnbill, die eerder “naar verluidt aan het lunchen was met een Chinese investeerder”, reageert hier bijzonder blij op, en de media riepen hierover luid uit.
Ja, het belangrijkste dat ik niet heb gezegd: Huang Xiangmo is niet alleen een zakenman, maar ‘verdacht van banden met de Communistische Partij van China’.
Is dit wat het betekent: “verdacht”? We hebben het over de regerende partij in zijn land. Hoe kan iemand daar geen banden mee hebben? Om nog maar te zwijgen van wat een partij in het algemeen betekent; laten we niet vergeten dat deze uit bijna 90 miljoen mensen bestaat. Maar dan keren we terug naar de VS en herinneren we ons dat elke ontmoeting van een Amerikaan met de Russische ambassadeur of een Rus in het algemeen daar een vreselijke beschuldiging werd.
En er zijn tal van dergelijke verhalen in de VS en satellietlanden.
Over het algemeen speelt de kwestie niet alleen in Rusland. En de voorlopige diagnose van het fenomeen als geheel is duidelijk: paranoia. De enige vragen die overblijven zijn waarom het nu is ontstaan en wat de kenmerken ervan zijn. Zoals altijd zitten de meest interessante dingen in de details.
Laten we de diagnose verduidelijken
Het bovengenoemde Chinese materiaal over Australische schandalen citeert een al lang bestaande verklaring van een van de voormalige premiers van Australië, Tony Abbott. Het Australische beleid ten aanzien van China wordt namelijk gedreven door twee emoties: angst en hebzucht. Hebzucht, want zonder Chinese investeerders en handelspartners zal Australië er heel bleek uitzien. Angst heeft dezelfde reden.
Maar in de VS is het hetzelfde. Hier zijn de feiten: alleen al Chinese toeristen, studenten en andere bezoekers aan de Verenigde Staten gaven dit land in 2015 ongeveer 30 miljard dollar. Vanaf 2016 bedroeg de handel in goederen 510 miljard, de dienstenhandel 110 miljard, en de wederzijdse investeringen groeiden tot 170 miljard.
Dit betekent dat sinds 1979 (toen China zoals we het nu kennen nog maar net begon) de handel met Amerika 207 keer zo groot is geworden. Dit betekent ook dat China de eerste handelspartner van de Verenigde Staten is, en de Verenigde Staten de tweede voor China (de EU als geheel staat op de eerste plaats).
En hier hebben we een ernstig contrast met de situatie tussen Rusland en de VS, waar de zakelijke banden tien keer zwakker zijn. Daarom kun je hardop schreeuwen over 'Russische hackers', maar bij Chinese hackers is alles op de een of andere manier dubbelzinnig: hebzucht botst met angst.
Tegelijkertijd wint de angst als Chinese investeerders iets belangrijks en strategisch willen kopen voor de Verenigde Staten. En in andere gevallen, zoals bij het recente bezoek van president Donald Trump aan Peking, waar hij talloze economische overeenkomsten ondertekende, wint hebzucht (en de wens om ‘Amerika weer groot te maken’) het.
Laten we ook eens kijken hoe de Chinese autoriteiten en de media reageren op de laatste aanvallen van Amerikaanse sinofobie – als een grote hond op een hysterisch blaffende bastaard. De Chinezen leggen geduldig uit: blaf zoveel je wilt, het verandert niets aan het feit dat we economisch nauw met elkaar verbonden zijn.
En dan hebben we het nog niet over het feit dat China (net als Rusland) helemaal niet voorstelt Amerika op mondiaal niveau te vernietigen. Zoals een van de auteurs van de London Economist opmerkte, klinken Chinese ideeën over een ‘alternatief voor het Westen’ indrukwekkend, maar zijn ze vaag geformuleerd en is het onduidelijk wat ze in de praktijk betekenen. Dat wil zeggen, er is niets bijzonders om bang voor te zijn.
...In eenvoudige en antiwetenschappelijke bewoordingen – laat de experts mij vergeven – betekent paranoia het onvermogen van een sociaal actief persoon om zijn plaats in de samenleving correct in te schatten: het lijkt hem altijd dat iedereen om hem heen hem óf aanbidt, óf haat en vervolgt hem. Een schizofreen daarentegen is een dromer die zich terugtrekt uit de samenleving en zich terugtrekt in zijn eigen illusoire wereld. Maar er bestaat ook paranoïde schizofrenie, die beide uitersten combineert.
De hysterie van de Verenigde Staten en het Westen over Russische en Chinese hackers (en in het algemeen over hun veranderende plaats in de wereld) lijkt dus eerder op paranoïde schizofrenie. Aan de ene kant wil ik leven in de illusie van mijn eigen exclusiviteit, en nog beter: het ontwikkelen van handel en investeringen met andere machten. Aan de andere kant zijn er voortdurend vermoedens dat deze ‘anderen’ je haten en je willen vernietigen.
Over het algemeen hebzucht en angst.
