Chinese hackersgroepen bundelen krachten

hacker2

Beveiligingsbedrijf FireEye maakt bekend twee cyberaanvallen te hebben opgespoord waarbij twee groepen hackers uit verschillende regio's in China nauw samenwerken. De samenwerking is volgens FireEye zorgwekkend, aangezien de hackers dankzij de samenwerking regionale en internationale aanvallen gerichter kunnen uitvoeren.

Dit schrijft FireEye in het rapport 'Operation Quantum Entanglement'. "De grootste zorg is dat deze twee onafhankelijke hackersgroepen lijken samen te werken, waardoor de dreiging die van de hackers uitgaat fors toeneemt", zegt Thoufique Haq, senior onderzoeker bij FireEye. "Het lijkt erop dat de groep bezig is een systeem op te zetten dat lijkt op een productielijn om gezamenlijke cyberaanvallen uit te kunnen tegen regionale en internationale doelwitten, waaronder de Verenigde Staten". FireEye stelt dat dit een grote stap is in de richting van massaproductie van cyberaanvallen.

Moafee en DragonOk

De eerste hackersgroep die FireEye heeft geïdentificeerd heet 'Moafee'. Deze groep opereert vanuit de Guangdong provincie in China. De hackers richten zich onder andere op militaire organisaties en overheden van landen die op nationaal niveau interesse hebben in de Zuid-Chinese Zee. Het gaat hierbij om andere om een industriële Amerikaanse defensiebasis. De tweede groep heet DragonOk en richt zich op zowel high-tech bedrijven als fabrikanten uit Japan en Taiwan. DragonOk lijkt actief te zijn vanuit de Chinese provincie Jiangsu.

Beide groepen maken volgens FireEye gebruik van vergelijkbare tools, technieken en procedures. Denk hierbij aan op maat gemaakte backdoors en remote administration tools (RAT's) om het netwerk van een doelwit binnen te dringen. De groepen zouden een voorkeur hebben voor spear-phishing e-mails als aanvalsmethode, waarbij zij doorgaans een malafide document inzetten om slachtoffers om de tuin te leiden. De e-mails die worden verzonden worden geschreven in de moedertaal van het doelwit.

HUC Packet Transmit Tool

Zowel Moafee als DragonOk zouden daarnaast gebruik maken van de bekende proxy tool HUC Packet Transmit Tool om hun geografische locatie te maskeren. Beide groepen zetten bestanden in die zijn beveiligd met wachtwoorden en bestanden van groot formaat om hun aanvallen te vermommen. De overeenkomsten tussen beide groepen zijn volgens FireEye dusdanig groot dat de hackers dezelfde training moeten hebben ontvangen, over dezelfde leveranciersketen voor toolkits moeten beschikken of hun aanvalscampagnes gezamenlijk moeten coördineren. Er zou dus sprake zijn van een nauwe samenwerking.

FireEye vermoedt overigens dat ook een derde Chinese hackersgroep nauw met Moafee en DragonOk samenwerkt. Ook deze groep maakt gebruik van dezelfde tools, technieken en procedures. Onderzoekers van FireEye hebben echter niet voldoende bewijs kunnen vinden om het verband tussen deze groep en zowel Moafee als DragonOk aan te tonen.

Lees ook
Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem d1

Orange Business transformeert IT en lanceert eerste Prisma SASE met SP Interconnect

Orange Business transformeert IT en lanceert eerste Prisma SASE met SP Interconnect

Orange Business Orange Cyberdefense en Palo Alto Networks hebben hun samenwerking verder versterkt met Palo Alto Networks Prisma SASE met Service Provider (SP) Interconnect.