Hiina häkkerid kasutavad nuhkimiseks Internetti

Kaks Hiina häkkerite rühma kasutavad Internet varastada Jaapani ja Lääne ettevõtetelt intellektuaalomandit. Nad kasutavad kasutuselevõttu lunavara oma tegevust varjata. Ekspertide sõnul kasutatakse seda jälgede varjamiseks ja tähelepanu kõrvalejuhtimiseks neile, kes püüavad selle päritolu avastada.

Selle tegevuse kohta lisateabe saamiseks Hiina häkkerid küberspionaaži, lugege kogu artiklit ja vaadake lisateavet.

Loe rohkem: Anonüümne häkkerirühmitus kuulutab Venemaale "kübersõja".

Luuramine lunavarategevuse kaudu

Leiti kaks häkkerite tegevuse klastrit, mida ettevõte Secureworks analüüsis. Klastrid on "Pronksjõeäär" (APT 41) ja "Pronkstähevalgus" (APT10). Mõlemad kasutavad kaugjuurdepääsu troojalaste juurutamiseks HUI-laadurit.

Seda silmas pidades kasutas „Bronze Starlight” alates 2022. aasta märtsist ühte neist troojalastest, et juurutada arvukalt lunavarasid, nagu LockFile, AtomSilo, Rook ja Pandora. Nendes rünnakutes kasutasid häkkerid HUI Loaderi uuendatud versioone, mis on võimelised kõnesid ühendama Windows API ja keelake Event Tracing for Windows (ETW) ja Antimalware Scan Interface funktsioonid (AMSI).

Vaatamata häkkerite rünnakutele ettevõtete vastu, ei suutnud lunavaraoperatsioonid ettevõtet oluliselt kahjustada. Pealegi jäeti nad kõik enneaegselt maha.

Kuid Secureworki leiud on väga kehtivad, kuna nende põhjal peaksid kaitsjad mehhanisme konfigureerima tugevad lunavaratuvastus- ja kaitsesüsteemid, samuti kõigi süsteemide põhjalik kontrollimine, isegi pärast seda puhastamine.

Kuigi pole selge, miks nende lunavarade arendamise taga on. Kuna need võivad olla loodud muu, veelgi tõsisema pahatahtliku tegevuse varjamiseks, poleks see esimene kord, kui neid seadmeid sellisel viisil kasutatakse.

Ka 2018. aastal kasutasid ohutegijad sadadesse Tšiili panga arvutitesse kettapuhastuse pahavara. Nii suutsid nad töötajate tähelepanu kõrvale juhtida, kui nad üritasid SWIFTi rahaülekandesüsteemi kaudu raha varastada.