Teknologi

10 Ominous State-Sponsored Hacker Grupper

10 Ominous State-Sponsored Hacker Grupper (Teknologi)

Hackergrupper er den hurtigst voksende trussel mod nationer i dag - ikke så meget de "hacktivister", som vi hører om, men yderst professionelle grupper, der arbejder for regeringer, som vi ikke hører om. Statssponsorerede hackergrupper har evnen til at snyde ind i medierne i medierne, store virksomheder, forsvarsafdelinger og-ja-regeringer og ødelægge dem. Selv sikkerhedsfirmaer, der er designet til at stoppe dem, kan infiltreres.

Situationen er så dårlig, det beskrives som en anden "kolde krig", og denne er virkelig global og stort set usynlig. Selv corporate brands er målrettet af stater søger en økonomisk fordel over konkurrerende nationer. Da computerforsvar er latterligt nemt for hackere at gå på kompromis, bliver offensiv kapacitet mere fristende, indtil alle parter i sidste ende angriber hinanden. Det er kun et spørgsmål om tid, før cyberangreb betragtes som en handling af egentlig krig (en holdning, som USA allerede er vred mod). Hackergrupper som de såkaldte "Peace Guarders" har allerede truet voldelige terrorangreb og begrænset ytringsfriheden i Hollywood.

Her er 10 af nøgleaktørerne i dette nye kat-og-musespil med spionage, sabotage og krigsførelse.

10 Den syriske elektroniske hær (SEA)
Syrien

Den syriske elektroniske hær (SEA) havde berømmelse og en slags kærlighedshat forhold til medierne i 2011-2013. Gruppen består hovedsagelig af universitetsstuderende i Syrien eller dets allierede, der ofte leverer propaganda til den syriske præsident Bashar al-Assad. Deres højt profilerede hacks af store medieforretninger omfattede New York Times, forskellige Twitter konti, og endda Løg (hvis retort var ret mindeværdigt), som fik dem en tilbageholdende respekt blandt sikkerhedsselskaber.

Det SEA organiserede også vellykkede angreb på CNN, Washington Post, og Tid i 2013. Endelig overbeviste koncernen engang offentligheden om, at en eksplosion var gået væk i Det Hvide Hus og skadede præsident Obama. Dette forstyrrede kortvarigt aktiemarkedet, hvorved Dow Jones-indekset faldt med en fuld procentdel.

SEA-hackerne har også været kendt for at engagere sig i mørkere bestræbelser, såsom målretning og skræmmende individer, som de ikke er enige om eller som ikke støtter Assad. Mens de hævder at være enkle patrioter, indrømmer de også at videregive relevant information til staten, der illustrerer den skumle linje mellem hacktivister og statsstøttede hackere. SEA'en arbejder hovedsagelig ved brug af "spydsfiskeri", en delvis socialt konstrueret metode, hvor en bruger bliver narret til at give adgangskoder eller anden følsom information, ofte ved at blive rettet mod en falsk hjemmeside oprettet med det formål.

I november 2014 vendte SEA tilbage og "hackede" en række websteder ved hjælp af et indholdsleveringsnetværk, der viste en pop-up, der læste: "Du er blevet hacket af den syriske elektroniske hær."

9Tarh Andishan
Iran

I 2009 blev Iran efterladt med en meget kompromitteret og formindsket computerinfrastruktur efter det bredt publicerede Stuxnet ormangreb. Iran reagerede ved at hæve sine hacking kapaciteter fra simpel hjemmeside defacement til fuldblåste cyber warfare. Således blev en statsstøttet hackergruppe kaldet "Tarh Andishan" ("Thinkers" eller "Innovators" in Farsi) født.

Gruppen blev fremtrædende med Operation Cleaver, en kampagne, der har været aktiv siden omkring 2012 og har målrettet mindst 50 organisationer over hele verden inden for militær, kommerciel, uddannelsesmæssig, miljømæssig, energi og luftfart. Chillingly har de også målrettet store flyselskaber og i nogle tilfælde endda fået "fuldstændig adgang" til luftfartsselskabets porte og kontrolsystemer, "muligvis tillader dem at forfalske gate legitimationsoplysninger." Cyber ​​Security Firm Cylance, som endnu ikke har nået en konklusion om koncernens langsigtede mål, udgav en tidlig rapport om Tarh Andishan (som kun repræsenterer en brøkdel af koncernens aktiviteter) på grund af frygt for, at Operation Cleaver allerede udgør en "alvorlig risiko for verdens fysiske sikkerhed".

Rapporten præsenterer evner som kendte hackerhåndtag, iranske domænenavne, infrastruktur hosting og andre indikatorer. Cylance mener, at den infrastruktur, der er tilgængelig for Tarh Andishan, er for stor til at være et enkeltpersoners eller en lille gruppes arbejde. Tarh Andishan bruger avancerede teknikker lige fra SQL-indsprøjtning, avancerede udnyttelser og automatiserede maskformige formeringssystemer, bagdøre og meget mere. De menes at have omkring 20 medlemmer, hovedsagelig fra Teheran med hjælpemedlemmer i Canada, Storbritannien og Holland. Dens ofre omfatter USA og Mellemamerika, dele af Europa, Sydkorea, Pakistan, Israel og flere andre mellemøstlige regioner.


8Dragonfly / Energetisk Bjørn
øst Europa

En gruppe, som Symantec kalder "Dragonfly-bandet" og andre sikkerhedsfirmaer, har kaldt "Energetic Bear", har opereret ud for Østeuropa og målrettet primært energibedrifter siden omkring 2011. Før det var det målrettet flyselskab og forsvarssektorer, som regel i USA og Canada. Symantec siger, at hacker-gruppen "bærer kendetegnene for en statsstøttet operation, der viser en høj grad af teknisk kapacitet." Det blev først opdaget af det russiske sikkerhedsfirma Kaspersky Labs.

Dragonfly bruger fjernadgang trojanere (RAT'er) som deres egne Backdoor.Oldrea og Trojan.Karagany malware værktøjer til at spionere på energi industri mål, selv om metoderne også kunne bruges til industrielle sabotage. Malware er normalt knyttet til phishing-e-mails, selvom hackerene for nylig har opgraderet til "vandingshullets" målemetoder: at kompromittere websteder, som et mål er kendt for hyppigt.Målene sendes derefter på en række omdirigeringer, indtil Oldrea eller Karagany kan introduceres i et offers system. I de senere stadier af deres kampagne lykkedes de endda at inficere legitim software, som ville blive downloadet og installeret som sædvanlig sammen med uønsket malware.

Som Stuxnet før det var Dragonfly's kampagne en af ​​de første store bestræbelser på at målrette direkte mod industrielle kontrolsystemer. I modsætning til Stuxnet, der kun målrettede mod Irans atomprogram, var Dragonfly's kampagne udbredt med langvarig spionage og adgang som det primære mål og evnen til at begå seriøs sabotage som en valgfri, men frygtelig evne.

7Tailored Access Operations, NSA
USA

I forlængelse af Stuxnet blev USA ikke efterladt i cyberkrigstoget og spionage spillet. Landet forbeholder sig ret til "at bruge alle nødvendige midler - diplomatiske, informative, militære og økonomiske - som det er hensigtsmæssigt og i overensstemmelse med gældende international lovgivning." Amerikas statsstøttede hackinggruppe er Skræddersyet Access Operations (TAO), der drives af National Security Agency . Det er gruppen, der er ansvarlig for at gøre Edward Snowden berømt efter det tyske magasin Der Spiegel lækkede detaljer afslørende TAO og det faktum, at NSA havde indsamlet telefondata fra tusindvis af amerikanere og oversøiske intelligensmål.

Siden mindst 2008 var TAO også i stand til at opfange pc-leverancer (hvor den ville opfange computeren og placere spionprogrammer indeni), udnytte hardware og software sårbarheder og hackkorporationer så avancerede som Microsoft (hvilket TAO angiveligt gjorde via Microsofts crash rapport dialog kasser sammen med det sædvanlige udvalg af ultra-sofistikerede cyber warfare teknikker).

Organisationen er ikke helt så hemmelighedsfulle i disse dage, og medarbejderne optager selv selv på LinkedIn, men det er lige så travlt - forhåbentlig mod udenlandske fjender denne gang. Deres 600-medarbejder-stærke primære hovedkvarter er placeret i det vigtigste NSA-kompleks i Fort Mead, Maryland. For at få en ide om deres nuværende operationer, spørg bare Dean Schyvincht, der hævder at være en TAO Senior Computer Network Operator fra Texas kontoret. Han siger, at "over 54.000 Global Network Exploitation (GNE) operationer til støtte for nationale efterretningsvirksomhed krav" er blevet gennemført fra 2013 med et personale på kun 14 personer under hans ledelse. Vi kan kun forestille os, hvad Fort Mead er op til.

6Ajax Security Team / Flying Kitten
Iran

Ajax startede i 2010 som en gruppe af "hacktivister" og website defacers fra Iran, men de gik fra aktivisme til cyberspionage og udflugt af politiske dissidenter. De nægter at være statssponsoreret, men mange tror på, at de blev ansat af den iranske regering - et stadig mere almindeligt mønster, hvor en gruppe får en stats opmærksomhed gennem sine offentlige aktiviteter for at opnå statssponsorering.

Ajax blev opmærksom på sikkerhedsfirmaer og grupper som CrowdStrike, da en række fejltagelser (hvoraf det ene gav efterforskere et medlems rigtige e-mail-adresse) udsatte forsøg på at målrette mod USA's forsvarsindustri og iranske dissidenter. Firman FireEye mener, at Ajax var ansvarlig for "Operation Saffron Rose" - en række phishing-angreb og forsøger at forfalske Microsoft Outlook Web Access og VPN-sider for at få information og legitimationsoplysninger i den amerikanske forsvarsindustri. Gruppen udsatte også dissidenter ved at lokke dem ind i korrupte anti-censurværktøjer.

Grupper som dette viser et voksende "grå område mellem cyberspionagefunktionerne i Irans hackergrupper og enhver direkte iransk regering eller militært involvering." Denne uklarhed mellem grupper og regeringer vil sandsynligvis blive mere udtalt i fremtiden.


5APT28
Rusland

"APT" står for "avanceret vedvarende trussel", en betegnelse, der anvendes i rapporter om hackergrupper af sikkerhedsfirmaer. Nogle gange - når der er lidt andet at gå på - er sådanne grupper navngivet efter disse rapporter. Sådan er tilfældet med en farlig gruppe kaldet "APT28" og antages at operere ud af Rusland. Det har været i avanceret cyberspionage siden mindst 2007.

Rusland betragtes som en af ​​verdens ledere inden for cyberkrig, men det er svært at finde afgørende beviser, der forbinder APT28 med Moskva. Ifølge FireEye's vicepræsident for hot intelligence viser deres rapport, at malware og værktøjer, der er brugt og oprettet af APT28, konsekvent angiver "russiske sprogtalere, der opererer i åbningstider, der er i overensstemmelse med tidszonen i Ruslands store byer, herunder Moskva og St. Petersborg .”

Gruppen udnyttede en række metoder og angreb mod militære og politiske mål i USA og Østeuropa, herunder specielt værdifulde mål for Rusland som Georgien. Det er endda målrettet NATO, og i en anden rapport har et hvide hus embedsmand bekræftet, at gruppen hacket sin vej til uklassificerede White House-netværk og måske har målrettet Ukraine.

4Unit 61398 / Kommentar Crew / Putter Panda
Kina

https://www.youtube.com/watch?v=YqiaVMCVCSQ

I 2013 udgav Mandiant en rapport, der hævdede at have fanget Kina med sin hånd lige i informationskandebeholderen. Mandiant konkluderede, at en gruppe, der arbejder for det kinesiske militærs elite Unit 61398 stjal hundredvis af terabyte data fra mindst 141 organisationer i engelsktalende nationer. Mandiant baserede denne påstand om beviser som Shanghai IP-adresser, computere ved hjælp af forenklede kinesiske sprogindstillinger og indikationer på, at mange personer i stedet for automatiserede systemer var bag angrebene.

Kina afviste påstandene og sagde, at rapporten "ikke er baseret på fakta" og "mangler teknisk bevis." Brad Glosserman, administrerende direktør for Center for Strategiske og Internationale Studiers Stillehavsforum refunderede dette og påpegede, at beviset - når det blev taget sammen med den type information, der stjæles - understøtter ikke en afvisning. Mandiant vidste endda, hvor de fleste angrebene stammede fra: en 12-etagers bygning lige uden for Shanghai, hvor hackerne havde adgang til kraftfulde fiberoptiske kabler.

Omkring 20 højt profilerede hackergrupper er rapporteret at komme fra Kina, og i det mindste er nogle af dem tænkt at indberette til Folkets Befrielsesarmé (Kinesisk Militær). Dette omfatter kommentatorskab og putterpanda, en hackergruppe aktiv siden 2007, der angiveligt har arbejdet ud af PLA-ejede bygninger. De hjalp med at udløse en igangværende amerikansk anklage mod en gruppe på fem personer i 2014.

3Axiom
Kina

En koalition af sikkerhedsrelaterede grupper, herunder Bit9, Microsoft, Symantec, ThreatConnect, Volexity og andre, har identificeret en anden farlig gruppe, som de har kaldt "Axiom." Gruppen specialiserer sig i virksomhedernes spionage og målretning mod politiske dissidenter, og det kan have har været bag 2010-angrebet på Google. Axiom menes at komme ud af Kina, men ingen har endnu kunnet identificere, hvor i Kina i koncernen opererer. En rapport fra koalitionen oplyste, at Axioms aktiviteter overlappede med "ansvarsområdet", der tilskrives den kinesiske regerings efterretningsagenturer, en dom støttet også af en FBI-flash, der blev frigivet til Infragard.

Rapporten fortsætter med at beskrive Axiom som en mulig undergruppe af en større ikke navngivet koncern i drift i mere end seks år, der primært er rettet mod private industrier, der er indflydelsesrige på det økonomiske område. De bruger teknikker lige fra generiske malware angreb til sofistikerede hacking udnyttelser, der kan tage år at manifestere. Vestlige regeringer, demokrati institutioner og dissidenter i og uden for Kina er også målrettet. Den kinesiske ambassade talsmand Geng Shuang udtalte, at "at dømme af tidligere erfaringer, er sådanne rapporter eller påstande normalt fiktive", og at regeringen i Beijing "har gjort alt, hvad det kan for at bekæmpe sådanne aktiviteter."

2Bureau 121
Pyongyang, Nordkorea

På nuværende tidspunkt har de fleste mennesker hørt om angrebene på Sony Pictures af hackere, der kalder sig "Guardians of Peace" (GOP). Gruppen hævdede at være forstyrret på grund af InterviewetEn kommende film, der skildrer den grafiske drab på Nordkoreas leder Kim Jong-un. Fredens vogter truede endda terrorangreb på 9/11 mod Sony-faciliteter og biografer, hvis Interviewet blev frigivet sammen med angreb på de involverede aktører og ledere. GOP skrev: "Hvad der kommer i de kommende dage, kaldes af grådigheden af ​​Sony Pictures Entertainment. Hele verden vil opsige SONY. "

Båndene til Nordkorea har ført til anklager om, at landet selv var ansvarlig for i det mindste nogle af angrebene. Dette har skubbet en gruppe kendt som Bureau 121 ind i medierne. Bureau 121 er et cyber warfare cadre af nordkoreanske hackere og computer eksperter. Defectors har hævdet, at gruppen tilhører General Bureau of Reconnaissance, Nordkoreas militære spion agentur. Den engagerer sig i statsstøttede hacks og sabotage på vegne af Pyongyang-regeringen mod Sydkorea og opfattede fjender som USA. I 2013 blev et angreb på 30.000 pc'er i sydkoreanske banker og radio- og tv-selskaber tilskrevet gruppen. Ifølge nogle består Præs 121 af omkring 1.800 medlemmer, der behandles som eliter og forsynes med rigelige incitamenter som rige lønninger og evnen til at bringe deres familier med dem, når de tildeles levende rum i Pyongyang. Defektør Jang Se-yul, der hævder at have studeret med gruppen i Nordkoreas militærkollegium for datalogi (Universitet for Automatisering), fortalte Reuters, at der eksisterer oversøiske divisioner af gruppen, der er indlejret i lovlige virksomheder.

Men er Nordkoreas regering virkelig bag angrebene? En talsmand nægtede at afklare det og sagde kun: "De fjendtlige kræfter er relateret til alt til Nordkorea. Jeg råder dig til bare at vente og se. "Det Hvide Hus fortalte CNN, at de" har fundet sammenkobling med den nordkoreanske regering "og" overvejede en række muligheder for at veje et potentielt svar. "Uanset hvad så Sony caved ind i truslerne. Efter at mange teatre faldt filmens juleåbning, tog selskabet det ubestemt tid - et træk, der ikke ser godt ud for ytringsfriheden i en verden, hvor enhver cyberbully med tilstrækkelige hackingskompetencer kan komme væk noget lignende med dette. Bemærk: Siden starten har Sony frigivet filmen i begrænset kapacitet.

1Hidden Lynx
Kina

"Skjult Lynx" (et navn givet af Symantec) er en af ​​de nyeste aktive grupper. En rapport fra 2013 beskriver dem som et ekstremt organiseret og erfarent team af hackere (ca. 50-100 af dem) med en stor mængde ressourcer til deres rådighed og tålmodigheden til at bruge dem. De bruger regelmæssigt - hvis ikke oprette - de nyeste hackingsteknikker, herunder deres signaturbrug af "vandhuller". Dette var en af ​​de metoder, der blev anvendt i 2013 for at infiltrere det skybaserede sikkerhedsfirma Bit9 i et forsøg på at få adgang til deres klienter.

Disse mennesker engagerer sig ikke blot i at få spillegitimationsoplysninger, målrettede peer-to-peer-brugere eller identitetstyveri (selvom de gør alt det også).De går efter nogle af de mest sikre mål i verden, herunder forsvarsindustrier, højtstående virksomheder og regeringer i større nationer, med angreb koncentreret i USA, Kina, Taiwan og Sydkorea. De er den kvintessige Hollywood-stil legosoldat hacker organisation.

Alle indikationer synes at pege på Kina som Hidden Lynx hovedoperationsgrundlag, men det er ikke sikkert, om det er en slags statsstøttet enhed eller en stærk lejesoldatgruppe. Deres avancerede færdigheder og teknikker - samt det faktum, at deres infrastruktur og kommando- og kontrolservere alle stammer fra Kina - gør det meget usandsynligt, at gruppen ikke understøttes.