Chinese hackers used F5 BIG-IP devices for cyber espionage

Chinese hackers που ασχολούνται με την cyber espionage πιστεύεται ότι βρίσκονται πίσω από μια μακροχρόνια επίθεση εναντίον ενός ανώνυμου οργανισμού στην Ανατολική Ασία. Λέγεται ότι οι επιτιθέμενοι βρίσκονταν για περίπου τρία χρόνια στο δίκτυο της ασιατικής εταιρείας, χρησιμοποιώντας παλαιού τύπου συσκευές F5 BIG-IP και έχοντάς τις ως εσωτερικό internal command-and-control.

The company cybersecurity Sygnia παρακολουθεί τη δραστηριότητα με το όνομα Velvet Ant και έχει παρατηρήσει ισχυρές ικανότητες και συχνή αλλαγή τεχνικών για να προσαρμόζεται στις καταστάσεις και να αποφεύγει τον εντοπισμό.

"Η Velvet Ant είναι ένας εξελιγμένος και καινοτόμος παράγοντας απειλών", stated η ισραηλινή εταιρεία. “Συλλέγουν ευαίσθητες πληροφορίες για μεγάλο χρονικό διάστημα, εστιάζοντας στις πελατειακές και οικονομικές πληροφορίες".

Οι αλυσίδες επίθεσης περιλαμβάνουν τη χρήση του backdoor PlugX (γνωστού και ως Korplug). Πρόκειται για ένα modular RAT που έχει χρησιμοποιηθεί ευρέως για κυβερνοκατασκοπεία και έχει συνδεθεί με κινεζικά συμφέροντα. Το PlugX βασίζεται σε μεγάλο βαθμό σε μια τεχνική που ονομάζεται DLL side-loading για να διεισδύσει σε συσκευές.

Οι ερευνητές παρατήρησαν ότι οι Κινέζοι hackers προσπάθησαν να απενεργοποιήσουν το λογισμικό ασφάλειας, πριν από την εγκατάσταση του PlugX.

Επιπλέον, εντοπίστηκε και μια άλλη παραλλαγή του PlugX που χρησιμοποιούσε έναν εσωτερικό διακομιστή αρχείων για C&C, επιτρέποντας έτσι στο κακόβουλο traffic να συνδυάζεται με τη νόμιμη δραστηριότητα δικτύου.

"Αυτό σήμαινε ότι ο παράγοντας απειλής ανέπτυξε δύο εκδόσεις του PlugX εντός του δικτύου“, σημείωσε η εταιρεία. “Η πρώτη έκδοση, που διαμορφώθηκε με έναν εξωτερικό διακομιστή C&C, εγκαταστάθηκε σε τελικά σημεία με άμεση Accessed at στο διαδίκτυο, διευκολύνοντας την extraction of sensitive information. Η δεύτερη έκδοση δεν είχε διαμόρφωση C&C και αναπτύχθηκε αποκλειστικά σε διακομιστές παλαιού τύπου".

Συγκεκριμένα, η δεύτερη παραλλαγή έκανε κατάχρηση μη ενημερωμένων devices F5 BIG-IP, ως κρυφό κανάλι επικοινωνίας με τον εξωτερικό διακομιστή C&C. Στόχος ήταν η έκδοση εντολών μέσω reverse SSH tunnel.

"Υπάρχει μόνο ένα πράγμα που απαιτείται για ένα περιστατικό μαζικής εκμετάλλευσης και αυτό είναι μια ευάλωτη υπηρεσία, δηλαδή ένα κομμάτι λογισμικού που είναι προσβάσιμο από το Διαδίκτυο

“, δήλωσε η WithSecure σε πρόσφατη ανάλυση.

"Συσκευές όπως αυτές συχνά προορίζονται να κάνουν ένα Network πιο ασφαλές, ωστόσο επανειλημμένα έχουν ανακαλυφθεί ευπάθειες που μπορούν να εκμεταλλευτούν οι εισβολείς για να αποκτήσουν μια τέλεια βάση σε ένα δίκτυο-στόχο".

Η ανάλυση των παραβιασμένων συσκευών F5 αποκάλυψε επίσης την παρουσία ενός εργαλείου με το όνομα PMCD, που περιμένει 60 λεπτά για να αναζητήσει εντολές προς εκτέλεση από τον C&C server. Επίσης, βρέθηκαν πρόσθετα προγράμματα για τη λήψη network packets και ένα SOCKS tunneling με το όνομα EarthWorm που έχει χρησιμοποιηθεί από ομάδες όπως οι Gelsemium και Lucky Mouse.

Προς το παρόν, δεν έχει γίνει γνωστό πώς γίνεται η αρχική πρόσβαση.

Οι επιθέσεις των Κινέζων hackers μπορεί να προκαλέσουν σημαντικές απώλειες για τους οργανισμούς. Γι’ αυτό το λόγο, πρέπει να λαμβάνονται προληπτικά μέτρα προστασίας. Οι οργανισμοί πρέπει να updated συνεχώς για τις τελευταίες απειλές cybersecurity και τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.

In addition, it is important to have a strong information security system which includes regularly reviewed security policies and procedures, as well as the use of technologies προστασίας από επιθέσεις. Η implementation of the latest updates σε όλα τα συστήματα και τις εφαρμογές βοηθά στην αντιμετώπιση ευπαθειών, που θα μπορούσαν να εκμεταλλευτούν οι Κινέζοι hackers.

Η staff training is equally critical. Staff need to be aware of current threats and ways to protect themselves, as well as the importance of protecting the organization's information. It is important to be able to identify suspicious emails and Messages, as the infection of systems is often done through phishing.

Source: thehackernews.com