Ke3chang
Uno dei gruppi di hacker più popolari, che si ritiene provengano dalla Cina, è il Ke3chang APT (Advanced Persistent Threat). Sono anche conosciuti come APT15. Nel tempo, i ricercatori di malware hanno tenuto d'occhio l'attività del gruppo di hacker Ke3chang e hanno fatto alcune scoperte interessanti. Sembra che le campagne di APT15 abbiano alcune somiglianze significative con quelle di altri gruppi di hacker cinesi, come tattiche simili, infrastrutture quasi identiche e payload corrispondenti. Tra questi gruppi di hacker cinesi ci sono Playful Dragon, GREF, RoyalAPT, Vixen Panda e Mirage. Di solito, simili somiglianze significano una delle due cose (o entrambe): alcuni importanti hacker sono membri di più di un gruppo, o/e i gruppi di hacker condividono informazioni e tecniche, che sono reciprocamente vantaggiose.
Sommario
L’arsenale di strumenti di hacking di Ke3chang
Il gruppo di hacker Ke3chang tende ad attaccare industrie o individui di grande importanza. Sono noti per aver eseguito attacchi contro le industrie militari e petrolifere, oltre a diplomatici, politici e vari organi governativi. Il gruppo di hacking Ke3chang sviluppa i propri strumenti di hacking e svolge le proprie operazioni utilizzandoli quasi esclusivamente. Alcuni degli strumenti nel vasto arsenale del gruppo Ke3chang sono TidePool, Ketrican , RoyalDNS , BS2005 , Okrum e altri. Tuttavia, gli esperti di sicurezza informatica hanno individuato una campagna in cui il gruppo di hacker Ke3chang ha utilizzato uno strumento di hacking disponibile pubblicamente chiamato Mimikatz , che viene utilizzato per raccogliere informazioni dall'host compromesso.
Come il gruppo Ke3chang effettua i loro attacchi di solito
Nel 2010, l'APT Ke3chang è apparso sulla mappa con la sua famigerata campagna contro i politici di alto rango in Europa. Sono anche noti per aver lanciato campagne in Sud America rivolte a individui simili. Di solito, il gruppo di hacker Ke3chang si assicura di infiltrarsi in un host e raccogliere informazioni sul sistema, come dati software e hardware. Questo aiuta gli aggressori a decidere quale sarebbe il modo più efficiente per continuare l'operazione. Vengono esfiltrati anche altri dati, come registri di chat, password, documenti, ecc. Quindi, gli aggressori possono scegliere di utilizzare i propri privilegi sulla macchina compromessa e tentare di infiltrarsi in altri sistemi potenzialmente vulnerabili connessi alla stessa rete.
Il malware Okrum
La gemma nella corona del gruppo Ke3chang è il malware Okrum. Questa minaccia è particolarmente complessa e impressionante. Il gruppo di hacker utilizza anche un metodo di propagazione piuttosto intricato: la steganografia. Questa tecnica prevede l'inserimento dello script compromesso della minaccia in un file PNG appositamente personalizzato.
Di solito, il gruppo di hacker Ke3chang si assicura di ottenere la persistenza nel sistema infetto. Questo li aiuta a mantenere attiva la minaccia piantata per periodi più lunghi.
