Para ahli keamanan yakin bahwa Cina hacker kelompok yang dikenal sebagai Komentar Kru masih beroperasi di bawah penutup. "Para Komentar Crew kembali lagi" ini adalah rumor dalam komunitas Intelijen, peneliti menduga keterlibatan kelompok hacker dalam sengketa maya baru-baru ini antara Amerika Serikat dan Cina.
Mari kita membuat langkah mundur, Februari lalu perusahaan Intelijen Mandiant merilis laporan yang menarik yang mengungkapkan kampanye spionase komputer skala enterprise dijuluki APT1.
Mandiant menghubungkan APT1 serangan, yang mengorbankan 141 organisasi dalam tujuh tahun, ke unit militer Cina disebut "61.398". Yang sangat menarik adalah bahwa perusahaan keamanan mengidentifikasi pola umum atas serangan yang dilakukan oleh hacker Cina kelompok, itu juga mampu mendefinisikan serangkaian indikator kunci untuk mengidentifikasi serangan APT sedang berlangsung.
Perusahaan keamanan Mandiant telah dipantau kelompok selama tahun terakhir dan laporan rincian operasi, itu bukan satu-satunya FireEye adalah perusahaan lain yang dibedakan dalam jenis penyelidikan.
Dari analisis serangan masa lalu dan pengamatan peristiwa yang sedang berlangsung para peneliti mencatat bahwa setelah kegiatan intens mengamati awal 2013 Komentar Kru kelompok berhenti menggunakan infrastruktur dan untuk menyerang target sebelumnya. Perilaku ini mungkin disebabkan oleh perubahan taktik dari kelompok setelah wahyu itu operasi, itu keyakinan umum bahwa Kelompok Kru Komentar memulai kampanye baru terhadap target baru menggunakan infrastruktur yang berbeda.
Peneliti senior di FireEye. Alex Lanstein menopang bahwa The Komentar Kru masih bekerja menyamar setelah periode istirahat jelas:
"Mereka mengambil nafas sedikit, dan mereka mulai kembali," katanya. "Kami tidak melihat mereka mengambil kendali dari salah satu sistem mereka sebelumnya dikompromikan," "Mereka mulai segar dengan putaran baru serangan." Lanstein terungkap.
para Komentar Crew sekelompok hacker yang disponsori negara yang beroperasi dengan skema yang telah ditetapkan, para analis keamanan mengungkapkan bahwa semua cyber menyerang berbagi alat dan metode dan dalam banyak kasus dari analisis kode berbahaya yang digunakan adalah mungkin untuk melacak sumber dari serangan.
Para peneliti digunakan untuk melacak kampanye malware menganalisis trek yang ditinggalkan oleh hacker termasuk layout keyboard dan adanya font tertanam dan penyalahgunaan DNS palsu (domain name system) rincian pendaftaran.
Lanstein menyoroti rincian lain yang baru terungkap oleh penyelidikan FireEye, Kelompok Kru Komentar meninggalkan nama proyek coding khusus mereka, yang disebut "Moonclient," dalam banyak contoh dari malware terdeteksi. FireEye terus informasi ini rahasia untuk menghindari memungkinkan tim untuk mengikuti Crew Komentar tetapi tampaknya sekarang tampaknya mereka telah mengubah taktik dan malware.
Lanstein mengomentari kelupaan hacker dengan kata-kata berikut: "Anda berurusan dengan manusia di sisi lain keyboard," "Ini adalah kesalahan yang dibuat berulang-ulang," "Ini lebih sulit untuk melacak mereka sekarang," Lanstein kata.
FireEye telah dirilis hari ini laporan yang menarik berjudul "Digital Roti Crumbs: Tujuh Petunjuk Untuk Mengidentifikasi Siapa Dibalik Lanjutan Serangan Cyber" yang menjelaskan bagaimana melakukan investigasi berdasarkan kesalahan umum yang dilakukan oleh hacker.
Dokumen ini didasarkan pada analisis hampir 1.500 kampanye dilacak oleh FireEye, kertas melaporkan hasil penelitian pada karakteristik umum dari berbagai serangan dan cara untuk mengidentifikasi hacker:
- Keyboard Layout. Tersembunyi dalam upaya phishing adalah informasi tentang pilihan penyerang keyboard, yang bervariasi menurut bahasa dan wilayah.
- Malware Metadata. Kode sumber Malware berisi rincian teknis yang menyarankan bahasa penyerang, lokasi, dan hubungan dengan kampanye lainnya.
- Tertanam Font. Font yang digunakan dalam email phishing menunjuk ke asal serangan itu. Hal ini berlaku bahkan ketika font biasanya tidak digunakan dalam bahasa asli penyerang.
- Pendaftaran DNS. Domain yang digunakan dalam serangan menentukan lokasi penyerang. Gandakan informasi pendaftaran dapat mengikat beberapa domain untuk penyebab umum.
- Language. Artefak bahasa tertanam dalam malware sering menunjuk ke negara penyerang asal dan kesalahan bahasa umum dalam email phishing kadang-kadang bisa reverse-engineered untuk menentukan bahasa asli penulis.
- Administrasi Jarak Jauh Configuration Tool. Alat malware-creation populer termasuk sebuah perkumpulan opsi konfigurasi. Pilihan ini sering unik untuk penyerang menggunakan alat, yang memungkinkan peneliti untuk mengikat serangan yang berbeda kepada pelaku ancaman umum.
- Perilaku. Pola perilaku seperti metode dan target memberikan beberapa metode penyerang dan motif.
Saya menemukan laporan yang sangat menarik dan saya sangat menyarankan Anda membaca-nya, untuk mengungkap maya kampanye spionase sehingga diartikulasikan dan kompleks itu adalah penting untuk mengenali bukti serangan yang sedang berlangsung dan asal sebenarnya dari penyerang.
Sebuah organisasi yang ditargetkan bisa menggunakan pengetahuan tentang metode dan tujuan serangan untuk:
Sebuah organisasi yang ditargetkan bisa menggunakan pengetahuan tentang metode dan tujuan serangan untuk:
- Segera mengalihkan sumber daya untuk mendukung data yang rentan
- Mintalah bantuan tambahan, apakah sumber daya internal atau penegakan hukum
- Lebih meneliti lainnya vektor-mungkin diabaikan-yang telah digunakan oleh penyerang kampanye lain
Sources The Hacker news
0komentar:
Post a Comment