Chinese hackersgroepen bundelen krachten
Beveiligingsbedrijf FireEye maakt bekend twee cyberaanvallen te hebben opgespoord waarbij twee groepen hackers uit verschillende regio's in China nauw samenwerken. De samenwerking is volgens FireEye zorgwekkend, aangezien de hackers dankzij de samenwerking regionale en internationale aanvallen gerichter kunnen uitvoeren.
Dit schrijft FireEye in het rapport 'Operation Quantum Entanglement'. "De grootste zorg is dat deze twee onafhankelijke hackersgroepen lijken samen te werken, waardoor de dreiging die van de hackers uitgaat fors toeneemt", zegt Thoufique Haq, senior onderzoeker bij FireEye. "Het lijkt erop dat de groep bezig is een systeem op te zetten dat lijkt op een productielijn om gezamenlijke cyberaanvallen uit te kunnen tegen regionale en internationale doelwitten, waaronder de Verenigde Staten". FireEye stelt dat dit een grote stap is in de richting van massaproductie van cyberaanvallen.
Moafee en DragonOk
De eerste hackersgroep die FireEye heeft geïdentificeerd heet 'Moafee'. Deze groep opereert vanuit de Guangdong provincie in China. De hackers richten zich onder andere op militaire organisaties en overheden van landen die op nationaal niveau interesse hebben in de Zuid-Chinese Zee. Het gaat hierbij om andere om een industriële Amerikaanse defensiebasis. De tweede groep heet DragonOk en richt zich op zowel high-tech bedrijven als fabrikanten uit Japan en Taiwan. DragonOk lijkt actief te zijn vanuit de Chinese provincie Jiangsu.
Beide groepen maken volgens FireEye gebruik van vergelijkbare tools, technieken en procedures. Denk hierbij aan op maat gemaakte backdoors en remote administration tools (RAT's) om het netwerk van een doelwit binnen te dringen. De groepen zouden een voorkeur hebben voor spear-phishing e-mails als aanvalsmethode, waarbij zij doorgaans een malafide document inzetten om slachtoffers om de tuin te leiden. De e-mails die worden verzonden worden geschreven in de moedertaal van het doelwit.
HUC Packet Transmit Tool
Zowel Moafee als DragonOk zouden daarnaast gebruik maken van de bekende proxy tool HUC Packet Transmit Tool om hun geografische locatie te maskeren. Beide groepen zetten bestanden in die zijn beveiligd met wachtwoorden en bestanden van groot formaat om hun aanvallen te vermommen. De overeenkomsten tussen beide groepen zijn volgens FireEye dusdanig groot dat de hackers dezelfde training moeten hebben ontvangen, over dezelfde leveranciersketen voor toolkits moeten beschikken of hun aanvalscampagnes gezamenlijk moeten coördineren. Er zou dus sprake zijn van een nauwe samenwerking.
FireEye vermoedt overigens dat ook een derde Chinese hackersgroep nauw met Moafee en DragonOk samenwerkt. Ook deze groep maakt gebruik van dezelfde tools, technieken en procedures. Onderzoekers van FireEye hebben echter niet voldoende bewijs kunnen vinden om het verband tussen deze groep en zowel Moafee als DragonOk aan te tonen.
Meer over
Lees ook
Centric en ManageEngine verdiepen samenwerking voor IT-beheer in de Benelux
Centric, een Nederlandse IT-dienstverlener, en ManageEngine, een divisie van Zoho Corporation en toonaangevende leverancier van IT-beheeroplossingen voor organisaties, kondigen een samenwerking aan waarmee Centric zijn managed services in de Benelux uitbreidt.
Fortinet breidt FortiCNAPP uit met contextuele informatie over het netwerk, data en de runtime-lagen
Verbeteringen combineren informatie over de aanwezige netwerkbeveiliging, native Data Security Posture Management (DSPM)-technologie en runtime-validatie, zodat security-teams risico’s rond de beveiliging van de cloud op prioriteit kunnen indelen
Genetec deelt aanbevelingen voor fysieke security teams op Data Protection Day
Wereldwijd is het vandaag Data Protection Day. Om deze dag te supporten en organisaties te helpen hun fysieke beveiligingsdata te beschermen, deelt Genetec Inc. (“Genetec”), wereldwijd leider in zakelijke software voor fysieke security, een aantal aanbevelingen.