Güvenlik sağlayıcısı koalisyonu, siberespiyonaj için kullanılan 43.000 kötü amaçlı yazılım bulaşmasını temizler

A olarak adlandırılan bir Çin cyberespioange grubu tarafından kullanıldı Güvenlik sağlayıcılarının koalisyonu, son altı yıl içinde Fortune 500 şirketlerinin, gazetecilerin, çevre gruplarının, yazılım şirketlerinin, akademik kurumların, demokrasi yanlısı grupların ve bilgisayarların bilgisayarlarına sızan, Çin'e bağlı karmaşık bir grup saldırganın faaliyetlerini kesintiye uğrattı. Dünyanın dört bir yanındaki devlet kurumları.

Sözde "kesişme" çabası bu ayın başlarında kamuoyuna duyuruldu ve Axiom adında bir siberpolis grubu hedeflendi. Novetta, Cisco Systems, Microsoft, FireEye, F-Secure, iSight İş Ortakları, Symantec, Tenable Network Security, ThreatConnect, ThreatTrack Security ve Volexity'nin katılımını gördü.

Şu ana kadar satıcıların SMN Operasyonu adlı yıkıcı eylemi sonuçlandı. Novetta'nın koalisyona liderlik ettiği veri analiz firması tarafından Pazartesi günü yayınlanan tam bir rapora göre, Axiom saldırganlarının risk altındaki bilgisayarlara yüklediği 43.000 örnek kötü amaçlı aracın kaldırılması.

[Ekstra okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır ]

Temizleme çalışması Microsoft'un Malwar Yazılım Temizleme Aracı (MSRT) aracılığıyla güncellendi ve bu güncellemeler aylık olarak Windows Update aracılığıyla güncellendi ve dağıtıldı. Operasyonda yer alan diğer satıcıların güvenlik ürünleri aracılığıyla.

Yüz seksen Novetta, saldırının son aşamalarında veri sızıntısı ve sürekliliği için Axiom'un kullandığı bir kötü amaçlı yazılım programı olan Hikit'in örneklerini oluşturuyordu.

Hikit, zararlı progralardan biri. Bilgisayar korsanlarının şirketin altyapısına girmesinden sonra 2012 yılında Bit9 güvenlik firmasına ait bir sertifika ile dijital olarak imzalandı. Novetta, Axiom saldırganlarının diğerlerinin yanı sıra bu saldırıya karıştığına inanıyor. Grup tarafından kullanılan araçlar ve altyapı, geçtiğimiz yıllarda Google'ı, Elderwood Projesi'ni, Shell_Crew'u, Operasyon Sorumlusu Yardımcısını, Ephemeral Hydra Operasyonunu ve Operasyon Kardan Adamını da içeren Aurora operasyonu da dahil olmak üzere yıllar içinde keşfedilen birçok siberpresaj kampanyasında kullanılanlarla örtüşüyor.

“The Axiom Tehdit grubu, altı yıldan uzun bir süredir serbest bırakılan operasyonları yöneten daha geniş bir siber casusluk grubunun iyi kaynaklı, disiplinli ve sofistike bir alt grubudur. ”diyor Novetta. “Novetta, Axiom'u görevlendiren kuruluşun, Çin İstihbarat Aparatının bir parçası olduğu konusunda ılımlı ve yüksek bir güvenceye sahip.”

Şu ana kadar toplanan istihbarat, Axiom grubunun, veri hırsızlığı ve siber-casusluk kampanyalarının uzun vadeli ısrarcı aşamalarını ele aldığını gösteriyor. . Bir bilgisayar ağı infiltre edildikten sonra grup, araçlarını zamanla topolojide topoloji değişikliklerine veya ağa eklenen yeni güvenlik kontrollerine göre izler ve uyarlar. Bazı durumlarda, kalıcılığı yıllarca ölçülebilir, Novetta dedi.

Axiom saldırganları, Hikit ile enfekte olmuş hemen hemen her hedef için ayrı komuta ve kontrol altyapısı kurdular ve Hikit ikilileri, her hedefin ortamı için özelleştirildi. Novetta, bilgisayarlarına en sonunda Hikit kötü amaçlı yazılım bulaştıran kuruluşların, ya Axiom grubu ve onun işleyicileri için ya da ortamlarının sertleştirilmesi ve daha özel bir kötü amaçlı yazılım gerektirmesi açısından çok önemli olduğuna inanıyor.

MSRT telemetri verisine dayanarak, Hikit enfeksiyonları öncelikle ABD, Güney Kore, Tayvan, Japonya ve Avrupa Birliği'nde bulunan bilgisayarlarda tespit edildi. Etkilenen kuruluşlar arasında Asya ve Batı devlet kurumları, insan hakları ve çevre politikası ile ilgilenen STK'lar, elektronik ve ağ ekipman üreticileri, risk sermayesi şirketleri, medya kuruluşları, telekomünikasyon firmaları, bulut bilişim sağlayıcıları ve akademik kurumlar yer almaktadır.

“Aksiyom'un Novetta, sektörlerin özellikle Çin'in stratejik çıkarları ve 2006 ve 2011 yıllarında kabul edilen en son Beş Yıllık Planları ile iyi uyum gösterdiğini söyledi. “12. Beş Yıllık Plan, Çin'in ileri teknoloji ve gelişmiş Ar-Ge çabalarını sürdürme yönündeki yeni yönünü gösteriyor. Çin, yabancı teknolojiye (özellikle ABD'ye) bağımlılıktan uzaklaşmaya başlarken, daha fazla şirket ve kuruluş Axiom ve / veya aynı veya benzer görevleri alan diğer gruplar tarafından, Çin oyunu yakaladıkça hedeflenebilir. ”

Son birkaç yılda, artan sayıda rapor, siber saldırıları ve Çin hükümeti, özellikle de Çin Halk Kurtuluş Ordusu arasında doğrudan bağlantılar olduğunu ileri sürdü. Ancak Çin hükümeti, diğer hükümetlere ve yabancı şirketlere karşı siber saldırılara karıştığına dair iddiaları defalarca reddetti.

ABD Adalet Bakanlığı, Mayıs ayında Çin Halk Kurtuluş Ordusu'nun sözde beş üyesini devlet destekli saldırılarda oynadıkları rol nedeniyle suçladı. ABD şirketlerinin bilgisayarlarına girerek ticaret sırlarını çalmakla ilgiliydi. Çinli yetkililer, ABD'nin Çin hükümet departmanlarına, şirketlerine ve üniversitelerine saldırdığını ve “Çin'in ABD'nin şiddetli hırsızlığı, telefon dinleme ve gözetim faaliyetlerinin kurbanı olduğunu” kendi suçlamalarıyla karşı karşıya bıraktı.

Novetta'nın raporuna ayrıntılı analizler eşlik ediyor. Axiom grubu tarafından kullanılan kötü amaçlı yazılımların yanı sıra, karma ve algılama imzaları da kullanıldı.