Ke3chang
Jedną z najpopularniejszych grup hakerskich, która prawdopodobnie pochodzi z Chin, jest Ke3chang APT (Advanced Persistent Threat). Znane są również jako APT15. Z biegiem czasu badacze szkodliwego oprogramowania uważnie obserwowali aktywność grupy hakerskiej Ke3chang i dokonali kilku interesujących odkryć. Wygląda na to, że kampanie APT15 wykazują pewne znaczące podobieństwa do innych chińskich grup hakerskich, takie jak podobna taktyka, prawie identyczna infrastruktura i dopasowane ładunki. Wśród tych chińskich grup hakerskich są Playful Dragon, GREF, RoyalAPT, Vixen Panda i Mirage. Zazwyczaj takie bliskie podobieństwa oznaczają jedną z dwóch rzeczy (lub obie) – niektórzy znani hakerzy są członkami więcej niż jednej grupy lub/i grupy hakerskie dzielą się informacjami i technikami, które są korzystne dla obu stron.
Spis treści
Arsenał narzędzi hakerskich Ke3chang
Grupa hakerska Ke3chang ma tendencję do atakowania branż lub osób o dużym znaczeniu. Wiadomo, że przeprowadzali ataki na przemysł wojskowy i naftowy, a także na dyplomatów, polityków i różne organy rządowe. Grupa hakerska Ke3chang opracowuje własne narzędzia hakerskie i prawie wyłącznie z nich korzysta. Niektóre z narzędzi w ogromnym arsenale grupy Ke3chang to TidePool , Ketrican , RoyalDNS , BS2005 , Okrum i inne. Eksperci ds. cyberbezpieczeństwa zauważyli jednak kampanię, w której grupa hakerska Ke3chang wykorzystała publicznie dostępne narzędzie hakerskie o nazwie Mimikatz , które służy do zbierania informacji z zaatakowanego hosta.
Jak zwykle grupa Ke3chang przeprowadza swoje ataki
W 2010 roku Ke3chang APT pojawił się na mapie ze swoją niesławną kampanią przeciwko wysokim politykom w Europie. Wiadomo również, że rozpoczęli kampanie w Ameryce Południowej skierowane do podobnych osób. Zazwyczaj grupa hakerska Ke3chang upewnia się, że infiltruje hosta i zbiera informacje o systemie, takie jak dane oprogramowania i sprzętu. Pomaga to atakującym zdecydować, jaki byłby najskuteczniejszy sposób kontynuowania operacji. Inne dane również są eksfiltrowane, takie jak dzienniki czatów, hasła, dokumenty itp. Następnie atakujący mogą zdecydować się na wykorzystanie swoich uprawnień na zaatakowanej maszynie i próbować infiltrować inne potencjalnie wrażliwe systemy podłączone do tej samej sieci.
Złośliwe oprogramowanie Okrum
Perełką w koronie Ke3chang Group jest złośliwe oprogramowanie Okrum. To zagrożenie jest szczególnie złożone i imponujące. Grupa hakerska stosuje również dość skomplikowaną metodę propagacji – steganografię. Technika ta polega na wstrzyknięciu zhakowanego skryptu zagrożenia do specjalnie dostosowanego pliku PNG.
Zazwyczaj grupa hakerska Ke3chang zapewnia trwałość w zainfekowanym systemie. To pomaga im utrzymać aktywne zagrożenie przez dłuższy czas.
