אבטחה קואליציה הספק מנקה 43,000 זיהומים תוכנות זדוניות המשמשים Cyberespionage

A קואליציה של ספקי אבטחה שיבשה את פעילותה של קבוצת תוקפים מתוחכמת הקשורה לסין, שבמשך שש השנים האחרונות הסתננה למחשבים של 500 חברות פורצ 'ן, עיתונאים, קבוצות איכות הסביבה, חברות תוכנה, מוסדות אקדמיים, קבוצות פרו - דמוקרטיות ו סוכנויות ממשלתיות ברחבי העולם.

המאמץ שנקרא "מניעה" הוכרז בפומבי מוקדם יותר החודש זה ממוקד קבוצה cyberespionage המכונה "אקסיום". הוא ראה את ההשתתפות של נובטה, סיסקו סיסטמס, מיקרוסופט, FireEye, F-Secure, iSight Partners, סימנטק, Tenable Network Security, ThreatConnect, אבטחה ThreatTrack ו Volexity.

עד כה הפעולה המפרחת של ספקי שנקרא מבצע SMN הביא הסרה של 43,000 מקרים של כלים זדוניים שהותקנו על ידי התוקפים אקסיום על מחשבים שנפגעו, על פי דו"ח מלא שפורסם על ידי נובאטה, חברת ניתוח נתונים שהובילה את הקואליציה.

[קרא עוד: כיצד להסיר תוכנות זדוניות מהמחשב Windows ]

מאמץ הניקוי נעשה באמצעות כלי להסרת תוכנות זדוניות של מיקרוסופט (MSRT), המתעדכן ומופץ באמצעות Windows Update מדי חודש, ובאמצעות מוצרי האבטחה של ספקים אחרים המעורבים במבצע.

זיהומים היו מקרים של Hikit, תוכנית זדונית המשמשת את אקסיום לחשיפת נתונים והתמדה במהלך השלבים האחרונים של ההתקפות שלה, אמרה נובאטה.

Hikit הוא אחד הפרוגראיות הזדוניות חתימה דיגיטלית עם אישור של חברת האבטחה Bit9 ב -2012 לאחר שהאקרים פרצו לתשתית החברה. נובאטה סבור כי התוקפים אקסיום היו מעורבים באותה התקפה, כמו גם אחרים. כלים ותשתיות המשמשים את הקבוצה עם אלה המשמשים מסעות פרסום רבים cyberespionage שהתגלו בשנים האחרונות כולל מבצע Aurora שהשפיעו על Google, פרויקט אלדרווד, Shell_Crew, מבצע סגן הכלב, מבצע הידרא חוצפה מבצע מבצע שלג.

"אקסיום קבוצת האיומים היא תת-קבוצה בעלת ניסיון רב, ממושמעת ומתוחכמת של קבוצת ריגול גדולה יותר, המכוונת את הפעילות ללא הפרעה במשך שש שנים ", אמרה נובאטה בדו"ח. "לנובאטה יש ביטחון מתון עד גבוה כי הארגון שמטפל באקסיום הוא חלק ממנגנון המודיעין הסיני". המודיעין שנאסף עד כה מלמד כי קבוצת אקסיום מטפלת בגניבת הנתונים ובשלבי ההתמדה ארוכי הטווח של מסעות הפרסום הקיברנטי . ברגע שחברת מחשבים מסתננת, הקבוצה מפקחת ומתאימה את הכלים שלה לשינויים בטופולוגיה או לבקרת אבטחה חדשה שנוספה לרשת לאורך זמן. בחלק מהמקרים ניתן למדוד את ההתמדה שלה במשך שנים, אומר נובאטה. התקיפים של אקסיום הקימו תשתית שליטה ופיקוד נפרדת לכל יעד כמעט נגוע בהיקיט והבינאריים של "חיקית" עצמם מותאמים לסביבתו של כל יעד. נובאטה מאמינה כי ארגונים שמחשבים שלהם בסופו של דבר נגועים בתוכנה זדונית של Hikit הם בעלי חשיבות מיוחדת לקבוצת אקסיום ולמטפלים שלה או שהסביבות שלהם קשוחות ודורשים תוכנות זדוניות יותר מתוחכמות.

בהתבסס על נתוני טלמטריה של MSRT, זיהומים של Hikit היו שזוהו בעיקר במחשבים הממוקמים בארה"ב, בדרום קוריאה, בטייוואן, ביפן ובאיחוד האירופי. ארגונים מושפעים כוללים רשויות ממשלתיות באסיה ובמערב, ארגונים לא ממשלתיים העוסקים בזכויות אדם ומדיניות סביבתית, יצרני ציוד אלקטרוניקה ואלקטרוניקה, חברות הון סיכון, ארגוני תקשורת, חברות תקשורת, ספקי מחשוב ענן ומוסדות אקדמיים. התעשיות הנ"ל יש להתאים היטב עם האינטרסים האסטרטגיים של סין ועם תוכניות החומש האחרון שלהם קיבל בשנת 2006 ו 2011 ", אמר נובאטה. "תוכנית החומש ה -12 מציגה את הכיוון החדש של סין לרדוף אחר טכנולוגיה מתקדמת ומאמצי מו"פ מתקדמים. כאשר סין מתחילה את המעבר שלה מתלות בטכנולוגיה זרה (במיוחד בארה"ב), יותר ויותר תאגידים וארגונים יכולים להיות ממוקדים על ידי אקסיום ו / או קבוצות אחרות שמקבלות את אותה משימה או משימה דומה, כפי שהמשחק הסיני תופס ".

בשנים האחרונות, מספר גדל והולך של דיווחים הציעו קישורים ישירים בין התקפות סייבר-פיגוע לבין ממשלת סין, בייחוד צבא השחרור העממי של סין. עם זאת, הממשלה הסינית הכחישה שוב ושוב את הטענות כי היא מעורבת בהתקפות נגד ממשלות אחרות וחברות זרות. [

משרד המשפטים האמריקני האשים חמישה חברים כביכול בצבא השחרור העממי הסיני בחודש מאי על תפקידם בהתקפות ממשלתיות אשר כרוך פריצה למחשבים של חברות בארה"ב לגנוב סודות מסחריים. גורמים רשמיים סינים התנגדו להאשמות שלהם כי ארה"ב פרצה למחלקות ממשלתיות, חברות ואוניברסיטאות בסין, וכי "סין היא קורבן לפעולות חבלה קשות של האזנות סתר, האזנות סתר ופעולות מעקב".

דוח של נובטה מלווה בניתוח מפורט של תוכנות זדוניות המשמשות את קבוצת אקסיום, כמו גם חתימות hashes וזיהוי