Dele:
10 Ominous State-Sponsede Hacker Grupper
Hackergrupper er den raskest voksende trusselen mot nasjoner i dag - ikke så mye "hacktivistene" som vi hører om, men ekstremt profesjonelle grupper som arbeider for regjeringer som vi ikke hører om. Statssponsorerte hackergrupper har mulighet til å orm inn i nettverkene i media, store selskaper, forsvarsdepartementer, og-ja-regjeringer og forårsake ødeleggelse. Selv sikkerhetsfirmaer som er utformet for å stoppe dem, kan bli infiltrert.
Situasjonen er så dårlig, det beskrives som en annen "kald krig", og denne er virkelig global og i stor grad usynlig. Selv bedriftens merkevarer er målrettet av stater som søker en økonomisk fordel over konkurrerende nasjoner. Siden datamaskinforsvar er latterlig lett for hackere å gå på kompromiss, blir støtende evner mer fristende, til slutt anfaller alle med hverandre. Det er bare et spørsmål om tid før cyberangrep blir betraktet som en handling av faktisk krig (en holdning som USA allerede er vred mot). Hackergrupper som de såkalte "fredens vaktmestere" har allerede truet voldelige terrorangrep og redusert ytringsfriheten i Hollywood.
Her er 10 av de viktigste aktørene i dette nye katt-og-musspillet med spionasje, sabotasje og krigføring.
Den syriske elektroniske hæren (SEA)
Syria
Den syriske elektroniske hæren (SEA) likte berømmelse og en slags kjærlighetshat-forhold med media i 2011-2013. Gruppen består for det meste av studenter i Syria eller dets allierte, som ofte leverer propaganda til den syriske presidenten Bashar al-Assad. Deres høyprofilerte hack av store medieforretninger inkluderte New York Times, ulike Twitter-kontoer, og til og med Løk (hvis retort var ganske minneverdig), som fikk dem en motvillig respekt blant sikkerhetsselskaper.
SEAen organiserte også vellykkede angrep på CNN, The Washington Post, og Tid i 2013. Endelig overbeviste gruppen en gang offentligheten om at en eksplosjon hadde gått av i Det hvite hus og skadet president Obama. Dette forstyrrer aksjemarkedet kort, noe som bringer Dow Jones-indeksen ned med en full prosentandel.
SEA-hackerne har også vært kjent for å engasjere seg i mørkere forsøk, for eksempel målretting og skremmende individer de ikke er enige med eller hvem som ikke støtter Assad. Mens de hevder å være enkle patrioter, innrømmer de også å videresende relevant informasjon til staten, som illustrerer den uklare linjen mellom hacktivister og statssponsorerte hackere. SEA virker hovedsakelig ved bruk av "spydsfishing", en delvis sosialt konstruert metode der en bruker lures på å gi ut passord eller annen sensitiv informasjon, ofte ved å bli rettet til en falsk nettside satt opp for det formålet.
I november 2014 returnerte SEA og "hacked" en rekke nettsteder ved hjelp av et innholdsleveringsnettverk, og viste en popup som leser: "Du har blitt hacket av den syriske elektroniske hæren."
9Tarh Andishan
Iran
I 2009 ble Iran igjen med en dårlig kompromittert og redusert datamaskininfrastruktur etter det store publiserte Stuxnet ormangrepet. Iran reagerte ved å heve sine hacking evner fra enkel nettside defacement til fullblåst cyber warfare. Således ble en statsstøttet hackergruppe kalt "Tarh Andishan" ("Thinkers" eller "Innovators" på Farsi) født.
Gruppen ble kjent med "Operation Cleaver", en kampanje som har vært aktiv siden rundt 2012, og har målrettet minst 50 organisasjoner over hele verden på militær-, kommersielle, pedagogiske, miljø-, energi- og luftfartsområder. Chillingly har de også rettet mot store flyselskaper og i noen tilfeller til og med fått "full tilgang" til flyselskapsportene og kontrollsystemene, "muligens tillate dem å spoof gate credentials." Cyber Security Firm Cylance, som ennå ikke har kommet til en konklusjon om gruppens langsiktige mål, utgitt en tidlig rapport om Tarh Andishan (som representerer bare en brøkdel av konsernets aktiviteter) på grunn av frykt for at Operation Cleaver allerede utgjør en "stor risiko for verdens fysiske sikkerhet".
Rapporten presenterer bevis som kjente hackerhåndtak, iranske domenenavn, infrastrukturhotell og andre indikatorer. Cylance mener infrastrukturen tilgjengelig for Tarh Andishan er for stor til å være arbeidet til en person eller en liten gruppe. Tarh Andishan bruker avanserte teknikker som strekker seg fra SQL-injeksjon, avanserte utnyttelser og automatiserte ormemessige formeringssystemer, bakdører og mer. De antas å ha rundt 20 medlemmer, for det meste fra Teheran med hjelpemedlemmer i Canada, Storbritannia og Nederland. Dens ofre omfatter USA og Mellom-Amerika, deler av Europa, Sør-Korea, Pakistan, Israel og flere andre Midtøsten-regioner.
8Dragonfly / Energetisk Bjørn
Øst-Europa
En gruppe som Symantec kaller "Dragonfly gang" og andre sikkerhetsfirmaer har kalt "Energetic Bear" har operert ut av Øst-Europa og målrettet hovedsakelig energiselskaper siden rundt 2011. Før det var det rettet mot flyselskap og forsvarssektorer, vanligvis i USA og Canada. Symantec sier at hackergruppen "bærer kjennetegnene til en statsstøttet operasjon, og viser en høy grad av teknisk evne." Det ble først oppdaget av det russiske sikkerhetsfirmaet Kaspersky Labs.
Dragonfly bruker fjerntilgang trojanere (RAT) som deres egne Backdoor.Oldrea og Trojan.Karagany malware verktøy for å spionere på energi industri mål, selv om metodene også kan brukes til industriell sabotasje. Malware er vanligvis knyttet til phishing-e-post, selv om hackerne nylig har oppgradert til "vanningshull" -metoder for målretting: kompromittere nettsteder som et mål er kjent for hyppige.Målene sendes deretter på en rekke omdirigeringer til Oldrea eller Karagany kan bli introdusert i et offers system. I de senere stadiene av kampanjen klarte de til og med å infisere legitim programvare, som ville bli lastet ned og installert som vanlig sammen med uønsket skadelig programvare.
Som Stuxnet før det var Dragonfly-kampanjen en av de første store innsatsene for direkte målrettet industrielle kontrollsystemer. I motsetning til Stuxnet, som bare målrettet mot Irans kjernefysiske program, var Dragonfly-kampanjen utbredt, med langsiktig spionasje og tilgang som hovedmål og muligheten til å begå seriøs sabotasje som en valgfri, men skremmende evne.
7Tailored Access Operations, NSA
USA
I etterkant av Stuxnet ville USA ikke bli etterlatt i cyberkrig og spionasje. Landet forbeholder seg retten "å bruke alle nødvendige midler-diplomatiske, informasjons-, militære og økonomiske - som det er hensiktsmessig og i samsvar med gjeldende folkerett." Amerikas statssponsorerte hackinggruppe er Skreddersydd Access Operations (TAO) som drives av National Security Agency . Det er gruppen som er ansvarlig for å gjøre Edward Snowden berømt etter det tyske magasinet Der Spiegel lekkede detaljer avslørende TAO og det faktum at NSA hadde samlet telefondata fra tusenvis av amerikanere og utenlandske etterretningsmål.
Siden minst 2008 var TAO også i stand til å fange opp PC-leveranser (hvor den ville fange opp datamaskinen og plassere spionprogrammer inni), utnytte maskinvare- og programvaresårbarheter og hackkorporasjoner som sofistikert som Microsoft (hvilket TAO angivelig gjorde via Microsofts krasjrapportdialog bokser sammen med det vanlige spekteret av ultra-sofistikerte cyber warfare teknikker).
Organisasjonen er ikke så hemmelig i disse dager, og ansatte lister seg selv på LinkedIn, men det er like opptatt - forhåpentligvis mot utenlandske fiender denne gangen. Deres 600-ansattes sterke hovedkvarter ligger i hoved NSA-komplekset i Fort Mead, Maryland. For å få en ide om deres nåværende virksomhet, bare spør Dean Schyvincht, som hevder å være en TAO Senior Computer Network Operator fra Texas kontoret. Han sier at "over 54 000 Global Network Exploitation (GNE) operasjoner til støtte for nasjonale etterretningstjenester krav" har blitt gjennomført fra 2013 med en stab på bare 14 personer under hans ledelse. Vi kan bare forestille oss hva Fort Mead er opp til.
6Ajax Security Team / Flying Kitten
Iran
Ajax startet i 2010 som en gruppe "hacktivister" og nettsidedefekterere fra Iran, men de gikk fra aktivisme til cyberspionasje og utflukt av politiske dissidenter. De nekter å være statssponsorerte, men mange tror at de ble ansatt av den iranske regjeringen - et stadig mer vanlig mønster hvor en gruppe oppnår en regjeringens oppmerksomhet gjennom sine offentlige aktiviteter for å få statssponsorering.
Ajax ble kjent med sikkerhetsfirmaer og grupper som CrowdStrike da en rekke feil (hvorav det ene ga etterforskerne et medlems reelle e-postadresse) eksponerte forsøk på å målrette mot amerikanske forsvarsindustrien og iranske dissidenter. Firman FireEye mener at Ajax var ansvarlig for "Operation Saffron Rose" - en rekke phishing-angrep og forsøker å spoofe Microsoft Outlook Web Access og VPN-sider for å få informasjon og legitimasjon i den amerikanske forsvarsindustrien. Gruppen avslørte også dissidenter ved å lokke dem inn i korrupte anti-sensurverktøy.
Grupper som dette viser et voksende "grått område mellom cyberspionasjeegenskapene til Irans hackergrupper og enhver direkte iransk regjering eller militært engasjement." Denne uklarheten mellom grupper og regjeringer vil trolig bli mer uttalt i fremtiden.
5APT28
Russland
"APT" står for "avansert vedvarende trussel", en betegnelse som brukes i rapporter om hackergrupper av sikkerhetsfirmaer. Noen ganger - når det er lite annet å gå på - er slike grupper oppkalt etter disse rapportene. Slik er tilfellet med en farlig gruppe kalt "APT28" og antas å operere ut av Russland. Det har vært engasjert i avansert cyberspionasje siden minst 2007.
Russland regnes som en av verdens ledere innen nettkampkamp, men det er vanskelig å finne avgjørende bevis for å knytte APT28 til Moskva. Ifølge FireEyes visepresident for hot intelligence viser rapporten at malware og verktøy som brukes og opprettet av APT28, konsekvent viser "russiske språktalere som opererer i åpningstider som er i tråd med tidszonen til Russlands store byer, inkludert Moskva og St. Petersburg .”
Gruppen utnyttet en rekke metoder og angrep mot militære og politiske mål i USA og Øst-Europa, inkludert spesielt verdifulle mål for Russland som Georgia. Det er til og med målrettet NATO, og i en annen rapport har et hvite husets offisielle bekreftet at gruppen hacket seg inn i uklassifiserte White House-nettverk og kanskje har målrettet Ukraina.
4Unit 61398 / Kommentar Crew / Putter Panda
Kina
https://www.youtube.com/watch?v=YqiaVMCVCSQ
I 2013 utgav Mandiant en rapport som hevdet at han hadde fanget Kina med sin hånd rett i informasjonskapsbeholderen. Mandiant konkluderte med at en gruppe som jobber for det kinesiske militærets elite Unit 61398 stjal hundrevis av terabyte data fra minst 141 organisasjoner i engelsktalende nasjoner. Mandiant baserte denne påstanden på bevis som Shanghai IP-adresser, datamaskiner som bruker forenklet kinesisk språkinnstillinger, og indikasjoner på at mange individer i stedet for automatiserte systemer sto bak angrepene.
Kina avviste påstandene, sier at rapporten "ikke er basert på fakta" og "mangler teknisk bevis." Brad Glosserman, administrerende direktør for Senter for strategisk og internasjonal studieres Stillehavsforum reflekterte dette, og påpekte at beviset - når det ble tatt sammen med typen informasjon stjålet, støtter ikke en avvisning. Mandiant visste selv hvor de fleste angrepene kommer fra: en 12-etasjers bygning rett utenfor Shanghai hvor hackerne hadde tilgang til høyfrekvente fiberoptiske kabler.
Om lag 20 høyprofilerte hackergrupper rapporteres å komme fra Kina, og i det minste er noen av dem tenkt å rapportere til People's Liberation Army (kinesisk militær). Dette inkluderer Comment Crew and Putter Panda, en hackergruppe aktiv siden 2007 som angivelig har jobbet ut av PLA-eide bygninger. De bidro til å utløse en pågående amerikansk anklage mot en gruppe på fem personer i 2014.
3Axiom
Kina
En koalisjon av sikkerhetsrelaterte grupper, inkludert Bit9, Microsoft, Symantec, ThreatConnect, Volexity og andre, har identifisert en annen farlig gruppe, som de har kalt "Axiom." Gruppen spesialiserer seg på bedriftsspionasje og målretting av politiske dissidenter, og det kan ha har vært bak 2010-angrepet på Google. Axiom antas å komme ut av Kina, men ingen har ennå kunnet identifisere hvor i fastlands-Kina gruppen opererer. En rapport fra koalisjonen uttalt at Axioms aktiviteter overlappte med "ansvarsområdet" som tilskrives den kinesiske regjeringens etterretningsorganer, en dom som også støttes av en FBI-flash utgitt til Infragard.
Rapporten fortsetter å beskrive Axiom som en mulig undergruppe av en større uavhengig gruppe i drift i mer enn seks år, rettet mot de fleste private næringer som er innflytelsesrike i den økonomiske sfæren. De bruker teknikker som strekker seg fra generiske malware angrep til sofistikerte hacking utnytter som kan ta år å manifestere. Vestlige regjeringer, demokratiinstitusjoner og dissidenter i og utenfor Kina har også blitt målrettet. Kinesisk ambassadets talsmann Geng Shuang uttalte at "dømmer fra tidligere erfaringer, slike rapporter eller påstander er vanligvis fiktive," og at regjeringen i Beijing "har gjort alt det kan for å bekjempe slike aktiviteter."
2Bureau 121
Pyongyang, Nord-Korea
Nå har folk flest hørt om angrepene på Sony Pictures av hackere som kalder seg "Guardians of Peace" (GOP). Gruppen hevdet å være opprørt på grunn av Intervjuet-En kommende film som skildrer den grafiske drapet på Nordkoreas leder Kim Jong-un. Fredens Foresatte truet selv 9/11-terrorangrep mot Sony-fasiliteter og kinoer hvis Intervjuet ble utgitt, sammen med angrep mot skuespillerne og de involverte ledere. GOP skrev: "Det som kommer i de kommende dagene, kalles av grådigheten til Sony Pictures Entertainment. Hele verden vil fordømme SONY. "
Båndene til Nord-Korea har ført til anklagelser om at nasjonen selv var ansvarlig for minst noen av angrepene. Dette har presset en gruppe kjent som Bureau 121 i media. Bureau 121 er en cyber warfare cadre av nordkoreanske hackere og datakunnskaper. Defectors har hevdet at gruppen tilhører General Bureau of Reconnaissance, Nordkoreas militære spion agentur. Den engasjerer statsstøttede hacker og sabotasje på vegne av Pyongyang-regjeringen mot Sør-Korea og oppfattet fiender som USA. I 2013 ble et angrep på 30.000 PCer i sørkoreanske banker og kringkastingsselskaper tilskrevet gruppen. Ifølge noen består Bureau 121 av rundt 1800 medlemmer som blir behandlet som eliter og forsynt med store incitamenter som rik lønn og evnen til å ta med seg sine familier når de tildeles levende rom i Pyongyang. Defekt Jang Se-yul, som hevder å ha studert med gruppen i Nordkoreas militærhøgskole for datavitenskap (University of Automation), fortalte Reuters at utenlandske divisjoner av gruppen eksisterer, innebygd i legitime bedrifter.
Men er Nordkoreas regjering virkelig bak angrepene? En talsmann nektet å avklare det og sa bare: "De fiendtlige kreftene er knyttet til alt i Nord-Korea. Jeg anbefaler deg å bare vente og se. "Det hvite hus fortalte CNN at de" har funnet koblinger til den nordkoreanske regjeringen ", og" vurderer en rekke alternativer når det gjelder å veie et potensielt svar. "Uansett sankte Sony inn i truslene. Etter at mange teatre slettet filmens juleåpning, trakk selskapet det på ubestemt tid - et trekk som ikke ser bra ut for ytringsfriheten i en verden der en cyberbulje med nok hackingferdigheter kan komme seg bort med dette. Merk: Siden skrivingen har Sony sluppet filmen i begrenset kapasitet.
1Hidden Lynx
Kina
"Skjult Lynx" (et navn gitt av Symantec) er en av de nyeste aktive gruppene. En rapport fra 2013 beskriver dem som et ekstremt organisert og erfarent team av hackere (omtrent 50-100 av dem) med en stor mengde ressurser til deres disposisjon og tålmodigheten til å bruke dem. De benytter regelmessig bruk av - hvis ikke opprette - de nyeste hackingsteknikkene, inkludert deres signaturbruk av "vanningshull". Dette var en av metodene som ble brukt i 2013 for å infiltrere det skybaserte sikkerhetsfirmaet Bit9 i et forsøk på å få tilgang til deres klienter.
Disse menneskene jobber ikke bare med å skaffe spilllegitimasjon, målrette peer-to-peer-brukere eller identitetstyveri (selv om de gjør alt dette også).De går etter noen av de sikreste målene i verden, inkludert forsvarsindustri, bedrifter på høyt nivå og myndigheter i store nasjoner, med angrep som er konsentrert i USA, Kina, Taiwan og Sør-Korea. De er den typiske Hollywood-stil leiesoldaten hacker organisasjon.
Alle indikasjoner ser ut til å peke på Kina som Hidden Lynx hovedoperasjonsgrunnlag, men det er ikke sikkert om det er en slags statlig sponset enhet eller en kraftig leiesoldatgruppe. Deres avanserte ferdigheter og teknikker - samt at deres infrastruktur og kommando- og kontrollservere alle kommer fra Kina - gjør det svært lite sannsynlig at gruppen ikke støttes.