Technologie

10 hrozivých státních sponzorovaných skupin hackerů

10 hrozivých státních sponzorovaných skupin hackerů (Technologie)

Hackerské skupiny jsou nejrychleji rostoucí hrozbou pro národy dnes - ne tolik "hacktivistů", o kterých slyšíme, ale extrémně profesionální skupiny, které pracují pro vlády, o kterých se neslyšíme. Hackerské skupiny podporované státem mají schopnost proniknout do sítí médií, velkých korporací, obranných útvarů a vlád vládnoucích a způsobit zmatek. Dokonce i bezpečnostní firmy určené k jejich zastavení mohou být infiltrovány.

Situace je tak špatná, je to popisována jako další "studená válka" a tato je skutečně globální a do značné míry neviditelná. Dokonce i firemní značky se zaměřují na státy, které hledají ekonomické výhody před konkurenčními zeměmi. Vzhledem k tomu, že počítačové obhajoby jsou pro hackery veselé a snadné kompromitovat, útočné schopnosti se stávají přitažlivějšími, až se nakonec všichni útočí. Je to jen otázka času, kdy jsou kybernetické útoky považovány za akt skutečné války (postoj, k němuž USA již směřují). Hackerské skupiny jako špatně pojmenované "Strážci míru" již vyhrožovaly násilnými teroristickými útoky a omezily svobodu projevu v Hollywoodu.

Zde je 10 klíčových hráčů v této nové hře špionážní, sabotážní a bojové.

10Sýrská elektronická armáda (SEA)
Sýrie

Sýrská elektronická armáda (SEA) měla v letech 2011-2013 slavnost a určitý vztah lásky a nenávisti k médiím. Skupina je většinou složena z vysokoškolských studentů v Sýrii nebo jejich spojenců, kteří často propagují sýrský prezident Bashar al-Assad. Jejich nejvýznamnější hackery z hlavních médií zahrnovaly New York Times, různé účty Twitter a dokonce i Cibule (jejíž retort byl spíše památný), což jim dalo neochotný respekt mezi bezpečnostními společnostmi.

SEA také organizovala úspěšné útoky na CNN, Washington Post, a Čas v roce 2013. Nakonec skupina jednou přesvědčila veřejnost, že v Bílém domě došlo k výbuchu a zranil prezidenta Obamu. Toto stručně narušilo akciový trh, čímž index Dow Jones klesl o celé procento.

Hackeři SEA jsou také známí, že se zabývají temnějšími snahami, jako je zaměřování a zastrašování jednotlivců, s nimiž nesouhlasí nebo kteří Assad nepodporují. Zatímco tvrdí, že jsou prostými vlastenci, připouštějí také, že přenášejí příslušné informace státu, což ilustruje tlumenou linii mezi hacktivisty a hackery sponzorem státu. SEA funguje hlavně pomocí metody "phishing" ("spear-phishing"), částečně sociálně navržené metody, kdy uživatel je podveden k tomu, že vydává hesla nebo jiné citlivé informace, často tím, že je nasměrován na falešnou webovou stránku vytvořenou pro tento účel.

V listopadu 2014 se SEA vrátila a "napadla" řadu webů pomocí sítě pro doručování obsahu a zobrazila vyskakovací okno, které znělo: "Byl jste napaden syrskou elektronickou armádou."

9Tarh Andishan
Írán

V roce 2009 zůstalo Írán po rozsáhlém útoku červů Stuxnet se špatně ohroženou a sníženou počítačovou infrastrukturou. Írán reagoval tím, že zdokonalil své hackerské schopnosti od jednoduchého zničení webových stránek až po plnohodnotný počítačový boj. Tak se narodila hackerská skupina sponzorovaná státem nazvaná "Tarh Andishan" ("myslitelé" nebo "inovátoři" ve Farsi).

Skupina získala význam s operací Cleaver, kampaň, která byla aktivní od roku 2012 a zaměřila se na nejméně 50 organizací po celém světě ve vojenských, obchodních, vzdělávacích, ekologických, energetických a leteckých polích. Chillingly se také zaměřili na hlavní letecké společnosti av některých případech dokonce získaly "úplný přístup" k bránám a řídícím systémům letecké společnosti, "což jim potenciálně dovoluje zabývat se pověřeními brány." Cyblácká bezpečnostní firma Cylance, která dosud nedospěla k závěru, dlouhodobé cíle skupiny, vydala časnou zprávu o Tarhu Andishanu (což představuje jen zlomek aktivit skupiny) kvůli obavám, že operace Cleaver již představuje "vážné riziko pro fyzickou bezpečnost světa".

Zpráva obsahuje důkazy, jako jsou známé hackerové ručičky, íránské názvy domén, hostování infrastruktury a další ukazatele. Cylance věří, že infrastruktura, kterou má Tarh Andishan k dispozici, je příliš velká, aby mohla být dílem jednotlivce nebo malé skupiny. Tarh Andishan využívá pokročilé techniky od injekce SQL, pokročilých exploitů a automatizovaných propagačních systémů typu červů, zadních dveří a dalších. Předpokládá se, že mají přibližně 20 členů, většinou z Teheránu s pomocnými členy v Kanadě, Velké Británii a Nizozemsku. Mezi její oběti patří USA a Střední Amerika, části Evropy, Jižní Korea, Pákistán, Izrael a několik dalších regionů Středního východu.


8Dragonfly / Energetický medvěd
východní Evropa

Skupina, kterou společnost Symantec nazývá "gang vážky" a další bezpečnostní firmy nazývaná "Energetický medvěd", působí z východní Evropy a zaměřuje se většinou na energetické společnosti od roku 2011. Předtím se zaměřovala na letecké a obranné odvětví, USA a Kanady. Symantec říká, že skupina hackerů "nese charakteristické znaky státní podpory sponzorované operace, která vykazuje vysoký stupeň technických schopností." Poprvé ji objevila ruská bezpečnostní firma Kaspersky Labs.

Dragonfly využívá trojské koně (RAT) na vzdálený přístup, jako například vlastní nástroje škodlivého softwaru Backdoor.Oldrea a Trojan.Karagany ke špionáži na cílech v energetickém průmyslu, i když metody mohou být také použity k průmyslové sabotáži. Malware je obvykle připojen k phishingovým e-mailům, ačkoli hackeři nedávno upgradovali na metodu zaměřování na "zavodňovací díry": ohrožují místa, o kterých je známo, že cíl je častý.Cíle jsou poté poslány na řadu přesměrování, dokud se Oldrea nebo Karagany nemohou dostat do systému oběti. V pozdějších fázích kampaně se dokonce podařilo infikovat legitimní software, který by byl stažen a nainstalován jako obvykle spolu s nežádoucím malwarem.

Stejně jako Stuxnet před tím, kampaň Dragonfly byla jedním z prvních velkých snah přímo zaměřit průmyslové řídící systémy. Na rozdíl od Stuxnetu, který byl zaměřen pouze na iránský jaderný program, byla kampaň Dragonfly rozšířená, s hlavním cílem dlouhodobé špionáže a přístupu a schopností spáchat vážnou sabotáž jako nepovinnou, ale děsivou schopnost.

7 Operace přístupového přístupu, NSA
USA

Po následcích Stuxnetu se USA neztratily v cyberwarové a špionážní hře. Země si vyhrazuje právo "používat veškeré potřebné prostředky - diplomatické, informační, vojenské a ekonomické - podle potřeby a v souladu s platným mezinárodním právem." Americká státní hackerská skupina je operace přizpůsobené přístupu (TAO) . Je to skupina zodpovědná za to, že se Edward Snowden stal známým po německém časopise Der Spiegel uniklé detaily odhalující TAO a skutečnost, že NSA shromáždil telefonní údaje od tisíců Američanů a zámořských zpravodajských cílů.

Vzhledem k tomu, že alespoň v roce 2008 byla TAO schopna zachytit dodávky osobních počítačů (kde by zachytila ​​počítač a umístit software do špionáže), využívat zranitelnosti v oblasti hardwaru a softwaru a hackovat korporace jako sofistikované jako Microsoft (což TAO tvrdila, krabice spolu s obvyklým spektrem ultra-sofistikovaných technik kybernetické války).

Organizace není v dnešní době tak tajemná a zaměstnanci se dokonce seznamují na LinkedIn, ale tentokrát je to stejně rušno - snad i proti zahraničním nepřátelům. Jejich 600 zaměstnanců-silné primární ústředí je umístěno v hlavním komplexu NSA ve Fort Mead, Maryland. Chcete-li získat představu o jejich současných operacích, stačí požádat Deana Schyvinchta, který tvrdí, že je TAO Senior Computer Operator Network z Texasu. Řekl, že od roku 2013 se uskutečnilo více než 54 000 operací GNO (Global Network Exploitation, GNE) na podporu požadavků národních zpravodajských agentur, kde pracovalo pouze 14 lidí. Můžeme si jen představit, co má Fort Mead.

6Ajax Security Team / Flying Kitten
Írán

Ajax začal v roce 2010 jako skupina "hacktivistů" a internetových defaulistů z Íránu, ale šli z aktivismu do kyberšpionáže a výpravy politických disidentů. Oni popírají, že jsou podporováni státem, ale mnozí se domnívají, že byli najati íránskou vládou - stále častějším vzorem, kde skupina získává prostřednictvím své veřejné činnosti pozornost vlády za účelem získání státního sponzorství.

Ajax se dostal do pozornosti bezpečnostních firem a skupin, jako je CrowdStrike, když řada chyb (z nichž jedna dala vyšetřovatelům skutečnou e-mailovou adresu člena) odhalila pokusy zaměřit se na obranný průmysl USA a iránské disidenty. Firma FireEye je přesvědčena, že společnost Ajax byla zodpovědná za operaci "Operace Saffron Rose" - řada útoků typu phishing a pokusů o zneužití stránek Microsoft Outlook Web Access a VPN, aby získala informace a pověření v rámci amerického obranného průmyslu. Skupina také vystavila disidenty tím, že je naláká na korupční nástroje proti cenzuru.

Takové skupiny demonstrují rostoucí "šedou oblast mezi schopnostmi íránských hackerů šířit kybernetická špionáž a jakoukoli přímou íránskou vládou nebo vojenskou angažovaností". Tato rozostřená linie mezi skupinami a vládami se v budoucnu pravděpodobně stane výraznějším.


5APT28
Rusko

"APT" znamená "pokročilé trvalé ohrožení", což je označení použité ve zprávách o hackerských skupinách od bezpečnostních firem. Někdy - jestliže tam je ještě málo jít dál - takové skupiny jsou pojmenovány po těchto zprávách. Tak je tomu v případě nebezpečné skupiny s názvem "APT28" a věří se, že působí mimo Rusko. Od roku 2007 se věnuje vyspělé počítačové špionáži.

Rusko je považováno za jednoho z vůdců světa v kybernetické válce, ale je těžké najít přesvědčivé důkazy, které by spojovaly APT28 s Moskvou. Podle viceprezidenta FireEye pro zpravodajství o hrozbách jejich zpráva ukazuje, že malware a nástroje používané a vytvořené společností APT28 důsledně ukazují, že "mluvčí ruského jazyka, kteří pracují v pracovní době, jsou v souladu s časovým pásmem velkých ruských měst včetně Moskvy a Petrohradu . "

Skupina využila řadu metod a útoků proti vojenským a politickým cílům v USA a ve východní Evropě, včetně konkrétních hodnotných cílů pro Rusko, jako je Gruzie. Je to dokonce cílené NATO, a v jiné zprávě, úředník z Bílého domu potvrdil, že skupina se dostala do neuzavřených sítí Bílého domu a mohla se zaměřit na Ukrajinu.

4Unit 61398 / Komentář Posádka / Putter Panda
Čína

https://www.youtube.com/watch?v=YqiaVMCVCSQ

V roce 2013 Mandiant vydal zprávu, která tvrdila, že chytila ​​Čínu rukama přímo v informačním jádru cookie. Mandiant dospěl k závěru, že skupina pracující pro elitní jednotku čínské armády 61398 ukradla stovky terabytů dat od nejméně 141 organizací v anglofonních zemích. Mandiant založil toto tvrzení na důkazech, jako jsou například adresy IP v Šanghaji, počítače používající jazykové nastavení zjednodušeného čínštiny a náznaky, že za útoky stojí spousta jednotlivců než automatizovaných systémů.

Čína tvrdí, že zpráva "není založena na skutečnostech" a "postrádá technický důkaz." Brad Glosserman, výkonný ředitel Pacificforum Center for Strategic and International Studies, to vyvrátil a poukázal na to, že důkazy, spolu s typem odcizených informací - nepodporuje odmítnutí. Mandiant dokonce věděl, odkud pochází většina útoků: 12patrová budova, která se nacházela těsně mimo Šanghaj, kde měli hackeři přístup k vysoce výkonným optickým kabelem.

Okolo 20 vysoce hackerských skupin hlásí, že pocházejí z Číny a přinejmenším některé z nich se údajně hlásí k Armádě lidové osvobození (čínská armáda). Jedná se o společnost Comment Crew a Putter Panda, hackerskou skupinu aktivní od roku 2007, která se údajně vypořádávala z budov vlastněných společností PLA. Pomohli spustit pokračující obžalobu USA proti skupině pěti osob v roce 2014.

3Axiom
Čína

Koalice bezpečnostních skupin, včetně společností Bit9, Microsoft, Symantec, ThreatConnect, Volexity a dalších, identifikovala další nebezpečnou skupinu, kterou nazvali "Axiom". Skupina se specializuje na korporátní špionáž a cílení politických disidentů. byl za útokem na Google v roce 2010. Axiom je věřil, že pochází z Číny, ale nikdo ještě nebyl schopen zjistit, kde v Číně funguje skupina. Zpráva koalice uvedla, že aktivity společnosti Axiom se překrývají s "oblastí odpovědnosti", která byla připsána zpravodajským agenturám čínské vlády, což byl rozsudek, který byl podpořen také FBI, který byl vydán Infragardovi.

Zpráva dále popisuje Axiom jako možnou podskupinu větší nepojmenované skupiny, která je v provozu více než šest let a zaměřuje se převážně na soukromé průmyslové odvětví, které mají vliv v ekonomické sféře. Používají techniky od obecných útoků malwaru až po sofistikované hackerské útoky, které mohou trvat roky, než se projeví. Západní vlády, instituce pro demokracii a disidenti v Číně i mimo ni byli rovněž zaměřeni. Mluvčí čínského velvyslanectví Geng Shuang uvedl, že "soudit z minulých zkušeností jsou takovéto zprávy nebo obvinění obvykle fiktivní," a že vláda v Pekingu "učinila vše, co je v boji proti takovým činnostem."

2 Předsednictvo 121
Pyongyang, Severní Korea

Nyní většina lidí slyšela o útoku na společnost Sony Pictures hackery, kteří se nazývají "Strážci míru" (GOP). Skupina tvrdila, že je rozrušená kvůli Rozhovor- nadcházející film, který zobrazuje grafickou vraždu vůdce Severní Koreje Kim Jong-un. Strážci míru dokonce vyhrožovali teroristickými útoky ve stylu 9/11 v zařízeních a kinech Sony Rozhovor byl propuštěn spolu s útoky proti herci a vedoucím pracovníkům. GOP napsal: "Cokoliv přichází v příštích dnech je nazýváno chamtivostí společnosti Sony Pictures Entertainment. Celý svět odsoudí SONY. "

Spojení se Severní Koreou vedlo k obvinění, že národ sám o sobě byl zodpovědný za alespoň některé útoky. Toto posunuje do médií skupinu známou jako Bureau 121. Bureau 121 je počítačový vojenský kádr severokorejských hackerů a počítačových expertů. Defektéři tvrdili, že skupina patří Generálnímu úřadu průzkumu, severokorejské vojenské špionážní agentuře. Zapojí se do státních sponzorů a sabotáže jménem vlády Pchjongjangu proti Jižní Koreji a vnímá nepřátele jako USA. V roce 2013 byl skupině připsán útok na 30 000 počítačů uvnitř jihokorejských bank a vysílacích společností. Některé z nich se domnívají, že předsednictvo 121 zahrnuje asi 1 800 členů, kteří jsou považováni za elity a poskytují bohaté pobídky, jako jsou bohaté platy a schopnost přivést s sebou své rodiny, když jim jsou přiděleny obytné prostory v Pchjongjangu. Defektor Jang Se-yul, který tvrdí, že studoval se skupinou na vojenské univerzitě Severní Koreje pro počítačovou vědu (University of Automation), řekl Reuters, že zámořské divize skupiny existují a jsou zakotveny v legitimní podnikání.

Ale vláda Severní Koreje opravdu stojí za útoky? Mluvčí to odmítl objasnit, pouze řekl: "Nepřátelské síly souvisejí s KDR (Severní Korea). Rád bych vám rád počkal a uviděl. "Bílý dům řekl CNN, že" našli spojení se severokorejskou vládou "a" zvažovali celou řadu možností, jak odvažovat potenciální reakci ". v ohrožení. Po mnoha divadlech klesla vánoční otevírání filmu, korporace ji vytáhla na neurčito - pohyb, který nevypadá dobře na svobodu projevu ve světě, ve kterém by jakýkoli cyberbully s dostatkem hackerských schopností mohl něco podobného uniknout. Poznámka: Od chvíle psaní Sony vydal film v omezeném rozsahu.

Nejdřív Lynx
Čína

"Skrytý Lynx" (název poskytnutý společností Symantec) je jednou z nejnovějších aktivních skupin. Zpráva z roku 2013 je popisuje jako extrémně organizovaný a zkušený tým hackerů (asi 50-100 z nich) s velkým množstvím prostředků, které mají k dispozici, a trpělivostí k jejich využití. Pravidelně využívají - a ne-vytvářejí - nejnovější hackerské techniky včetně jejich podpisového použití "zavlažovacích otvorů". Jednalo se o jednu z metod používaných v roce 2013 k infiltrování bezpečnostní firmy Bit9 založené na cloudových počítačích v pokusu získat přístup k jejich klientů.

Tito lidé se nezabývají pouze získáváním herních pověření, zaměřených na uživatele peer-to-peer nebo krádeže totožnosti (ačkoli to dělají totéž).Jedná se o některé z nejbezpečnějších cílů na světě, včetně obranného průmyslu, korporací na vysoké úrovni a vlád hlavních národů, s útoky soustředěnými na USA, Čínu, Tchaj-wan a Jižní Koreu. Jsou to zásadní hollywoodští žoldnéři hackerové organizace.

Zdá se, že všechny náznaky ukazují na Čínu jako na hlavní operaci skrytého lynxu, ale není jisté, zda jde o nějakou státní sponzorovanou entitu nebo silnou žoldnéřskou skupinu. Jejich pokročilé dovednosti a techniky - stejně jako skutečnost, že jejich infrastruktura, pověření a řídící servery pocházejí z Číny - činí velmi nepravděpodobné, že skupina není podporována.