Tecnologia

10 minacciosi gruppi di hacker sponsorizzati dallo stato

10 minacciosi gruppi di hacker sponsorizzati dallo stato (Tecnologia)

I gruppi di hacker rappresentano oggi la minaccia più rapida crescita per le nazioni, non tanto per gli "hacktivisti" di cui sentiamo parlare, ma per i gruppi estremamente professionali che lavorano per i governi di cui non sentiamo parlare. I gruppi di hacker sponsorizzati dallo stato hanno la capacità di penetrare nelle reti dei media, delle grandi corporation, dei dipartimenti della difesa e dei governi sì e devastare. Anche le società di sicurezza progettate per fermarle possono essere infiltrate.

La situazione è così grave che viene descritta come un'altra "guerra fredda", e questa è veramente globale e in gran parte invisibile. Anche i marchi aziendali sono presi di mira dagli stati che cercano un vantaggio economico rispetto alle nazioni concorrenti. Dal momento che le difese informatiche sono ridicolmente facili da compromettere per gli hacker, le capacità offensive diventano più allettanti, finché alla fine tutti si stanno attaccando a vicenda. È solo una questione di tempo prima che gli attacchi cibernetici siano considerati un atto di guerra reale (una posizione che gli Stati Uniti stanno già virando verso). Gruppi di hacker come i cosiddetti "Guardiani della pace" hanno già minacciato violenti attacchi terroristici e ridotto la libertà di parola a Hollywood.

Ecco 10 dei giocatori chiave in questo nuovo gioco di spionaggio, sabotaggio e guerra.

10The Syrian Electronic Army (SEA)
Siria

Il Syrian Electronic Army (SEA) ha goduto di fama e una sorta di rapporto di amore-odio con i media nel 2011-2013. Il gruppo è composto principalmente da studenti universitari in Siria o dai suoi alleati che spesso fanno propaganda per il presidente siriano Bashar al-Assad. I loro hack di alto profilo dei principali media hanno incluso il New York Times, vari account Twitter e persino il Cipolla (la cui replica era piuttosto memorabile), che li ha ottenuti un rispetto riluttante tra le società di sicurezza.

Il SEA ha anche orchestrato attacchi di successo alla CNN, Il Washington Post, e Tempo nel 2013. Infine, il gruppo una volta convinse il pubblico che un'esplosione era esplosa alla Casa Bianca, ferendo il presidente Obama. Questo ha perturbato brevemente il mercato azionario, abbassando l'indice Dow Jones di una percentuale intera.

Gli hacker SEA sono anche noti per impegnarsi in attività più oscure, come bersagliare e intimidire le persone con cui non sono d'accordo o che non supportano Assad. Mentre affermano di essere semplici patrioti, ammettono anche di trasmettere informazioni rilevanti allo stato, illustrando la linea oscura tra gli hacktivisti e gli hacker sponsorizzati dallo stato. La SEA funziona principalmente attraverso l'uso di "spear-phishing", un metodo parzialmente socialmente ingegnerizzato in cui un utente viene ingannato a fornire password o altre informazioni sensibili, spesso essendo indirizzato a un falso sito Web creato per tale scopo.

Nel novembre 2014, la SEA ha restituito e "hackerato" un certo numero di siti utilizzando una rete di consegna dei contenuti, visualizzando un popup che diceva: "Sei stato hackerato dall'esercito elettronico siriano".

9Tarh Andishan
Mi sono imbattuto

Nel 2009, l'Iran è rimasto con un'infrastruttura informatica gravemente compromessa e diminuita dopo il diffuso attacco worm di Stuxnet. L'Iran ha risposto elevando le sue capacità di hacking dal semplice defacement del sito Web alla guerra informatica in piena regola. Così nacque un gruppo di hacker sponsorizzato dallo stato soprannominato "Tarh Andishan" ("Pensatori" o "Innovatori" in farsi).

Il gruppo ha acquisito importanza con "Operation Cleaver", una campagna che è attiva dal 2012 e ha preso di mira almeno 50 organizzazioni in tutto il mondo nei settori militare, commerciale, educativo, ambientale, energetico e aerospaziale. Chillingly, hanno anche preso di mira le principali compagnie aeree e in alcuni casi hanno persino ottenuto un "accesso completo" ai gate delle compagnie aeree e ai sistemi di controllo, "potenzialmente permettendo loro di falsificare le credenziali." Cylance, la società di sicurezza informatica, che non ha ancora raggiunto una conclusione sul obiettivi a lungo termine del gruppo, ha pubblicato un primo rapporto su Tarh Andishan (che rappresenta solo una frazione delle attività del gruppo) a causa delle paure che l'Operazione Cleaver rappresenta già "un grave rischio per la sicurezza fisica del mondo".

Il rapporto presenta prove come maniglie di hacker noti, nomi di dominio iraniani, hosting di infrastrutture e altri indicatori. Cylance crede che l'infrastruttura disponibile per Tarh Andishan sia troppo grande per essere il lavoro di un individuo o di un piccolo gruppo. Tarh Andishan utilizza tecniche avanzate che vanno dall'iniezione SQL, agli exploit avanzati e ai sistemi di propagazione worm-like automatizzati, backdoor e altro ancora. Si pensa che abbiano circa 20 membri, per lo più da Teheran con membri ausiliari in Canada, nel Regno Unito e nei Paesi Bassi. Tra le vittime ci sono Stati Uniti e America centrale, parti dell'Europa, Corea del Sud, Pakistan, Israele e diverse altre regioni del Medio Oriente.


8Dragonfly / Orso energetico
Europa orientale

Un gruppo che Symantec chiama "la banda Dragonfly" e altre società di sicurezza hanno chiamato "Energetic Bear" è operativo dall'Europa orientale e si rivolge principalmente alle compagnie energetiche dal 2011. Prima di allora, si rivolgeva ai settori delle compagnie aeree e della difesa, di solito nel Stati Uniti e Canada. Symantec afferma che il gruppo di hacker "reca le caratteristiche di un'operazione sponsorizzata dallo stato, mostrando un alto grado di capacità tecnica". È stato scoperto per la prima volta dalla società di sicurezza russa Kaspersky Labs.

Dragonfly utilizza i Trojan di accesso remoto (RAT) come i propri strumenti di malware Backdoor.Oldrea e Trojan.Karagany per spiare gli obiettivi dell'industria energetica, sebbene i metodi possano essere utilizzati anche per il sabotaggio industriale. Il malware è solitamente collegato alle e-mail di phishing, sebbene gli hacker abbiano recentemente aggiornato i metodi di targeting "watering hole": siti compromettenti che un obiettivo è noto frequentare.Gli obiettivi vengono quindi inviati su una serie di reindirizzamenti fino a quando Oldrea o Karagany possono essere introdotti nel sistema di una vittima. Nelle fasi successive della loro campagna, sono persino riusciti a infettare il software legittimo, che verrebbe scaricato e installato come al solito insieme a malware indesiderato.

Come Stuxnet prima di esso, la campagna di Dragonfly fu uno dei primi grandi sforzi per indirizzare direttamente i sistemi di controllo industriale. A differenza di Stuxnet, che aveva come obiettivo solo il programma nucleare iraniano, la campagna di Dragonfly era diffusa, con lo spionaggio e l'accesso a lungo termine come obiettivo primario e la capacità di commettere gravi sabotaggi come capacità opzionale ma terrificante.

7 Operazioni di accesso temporaneo, NSA
Stati Uniti d'America

All'indomani di Stuxnet, gli Stati Uniti non sarebbero stati lasciati indietro nel gioco della guerra cibernetica e dello spionaggio. Il paese si riserva il diritto "di utilizzare tutti i mezzi necessari - diplomatico, informativo, militare ed economico - come appropriato e coerente con il diritto internazionale applicabile." Il gruppo di hacking sponsorizzato dallo stato americano è Tailored Access Operations (TAO) gestito dalla National Security Agency . È il gruppo responsabile di rendere Edward Snowden famoso dopo la rivista tedesca Der Spiegel trapelarono i dettagli che rivelavano gli UAT e il fatto che la NSA avesse raccolto dati telefonici da migliaia di americani e di obiettivi di intelligence oltremare.

Almeno dal 2008, TAO è stata anche in grado di intercettare le consegne di PC (dove intercettava il computer e collocava il software di spionaggio all'interno), sfruttare le vulnerabilità hardware e software e hackerare le società sofisticate come Microsoft (che TAO avrebbe fatto tramite il rapporto di crash report di Microsoft) scatole insieme alla solita gamma di tecniche di cyber warfare ultra-sofisticate).

Al giorno d'oggi l'organizzazione non è così segreta e gli impiegati si elencano su LinkedIn, ma questa volta è altrettanto impegnata, spero, contro i nemici stranieri. Il loro quartier generale primario da 600 dipendenti è ospitato nel complesso principale della NSA a Fort Mead, nel Maryland. Per avere un'idea delle loro attuali operazioni, basta chiedere a Dean Schyvincht, che sostiene di essere un operatore di rete di computer senior TAO dall'ufficio del Texas. Dice che "oltre 54.000 operazioni di Global Network Exploitation (GNE) a sostegno dei requisiti delle agenzie di intelligence nazionali" sono state condotte nel 2013 con un personale di sole 14 persone sotto la sua gestione. Possiamo solo immaginare cosa sta facendo Fort Mead.

6Ajax Security Team / Flying Kitten
Mi sono imbattuto

L'Ajax è iniziato nel 2010 come un gruppo di "hacktivisti" e defacer di siti web dall'Iran, ma sono passati dall'attivismo allo spionaggio informatico e all'uscita di dissidenti politici. Negano di essere sponsorizzati dallo stato, ma molti credono che siano stati assunti dal governo iraniano - un modello sempre più comune in cui un gruppo ottiene l'attenzione di un governo attraverso le sue attività pubbliche al fine di ottenere la sponsorizzazione statale.

Ajax è arrivato all'attenzione di società di sicurezza e gruppi come CrowdStrike quando una serie di errori (uno dei quali ha fornito agli investigatori il vero indirizzo e-mail di un membro) ha esposto tentativi di colpire l'industria della difesa degli Stati Uniti e i dissidenti iraniani. La società FireEye ritiene che Ajax sia stata responsabile di "Operation Saffron Rose", una serie di attacchi di phishing e tentativi di spoofing di pagine Microsoft Outlook Web Access e VPN al fine di ottenere informazioni e credenziali all'interno dell'industria della difesa statunitense. Il gruppo ha anche esposto i dissidenti attirandoli con strumenti corruttori anti-censura.

Gruppi come questo dimostrano una crescente "area grigia tra le capacità di spionaggio informatico dei gruppi di hacker iraniani e qualsiasi governo iraniano diretto o coinvolgimento militare". Questa linea sfocata tra gruppi e governi probabilmente diventerà più pronunciata in futuro.


5APT28
Russia

"APT" sta per "advanced persistent threat", una designazione utilizzata nei report sui gruppi di hacker da parte delle aziende di sicurezza. A volte, quando c'è poco altro da fare, tali gruppi prendono il nome da questi rapporti. Questo è il caso di un gruppo pericoloso chiamato "APT28" che si ritiene operasse fuori dalla Russia. È stato impegnato nel cyber-spionaggio avanzato almeno dal 2007.

La Russia è considerata uno dei leader mondiali nella guerra informatica, ma è difficile trovare prove conclusive che colleghino l'APT28 a Mosca. Secondo il vice presidente di intelligence delle minacce di FireEye, il loro rapporto mostra che il malware e gli strumenti utilizzati e creati da APT28 indicano costantemente "parlanti di lingua russa che operano durante le ore lavorative che sono coerenti con il fuso orario delle principali città della Russia, tra cui Mosca e San Pietroburgo “.

Il gruppo ha utilizzato una serie di metodi e attacchi contro obiettivi militari e politici negli Stati Uniti e nell'Europa orientale, compresi obiettivi specificamente preziosi per la Russia come la Georgia. E 'addirittura preso di mira dalla NATO, e in un altro rapporto, un funzionario della Casa Bianca ha confermato che il gruppo si è fatto strada nelle reti della Casa Bianca non classificate e potrebbe aver preso di mira l'Ucraina.

4Unit 61398 / commento Panda / Putter
Cina

https://www.youtube.com/watch?v=YqiaVMCVCSQ

Nel 2013 Mandiant pubblicò un rapporto che sosteneva di aver catturato la Cina con la sua mano nel barattolo dei cookie. Mandiant ha concluso che un gruppo che lavora per l'unità d'élite militare cinese 61398 ha rubato centinaia di terabyte di dati da almeno 141 organizzazioni in nazioni di lingua inglese. Mandiant ha basato questa affermazione su prove come gli indirizzi IP di Shanghai, i computer che utilizzano le impostazioni della lingua cinese semplificata e le indicazioni che dietro gli attacchi c'erano numerosi individui piuttosto che sistemi automatici.

La Cina ha respinto le affermazioni, affermando che il rapporto "non è basato sui fatti" e "manca di prove tecniche". Brad Glosserman, direttore esecutivo del Centro per gli studi strategici e internazionali del Pacifico ha confutato questo punto, sottolineando che le prove - quando prese insieme al tipo di informazioni rubate, non supporta un rifiuto. Mandiant sapeva anche da dove proveniva la maggior parte degli attacchi: un edificio di 12 piani appena fuori Shanghai dove gli hacker avevano accesso a cavi in ​​fibra ottica ad alta potenza.

Si dice che circa 20 gruppi di hacker di alto profilo vengano dalla Cina, e almeno alcuni di essi si pensa che riferiscano all'esercito di liberazione popolare (militare cinese). Ciò include Comment Crew e Putter Panda, un gruppo di hacker attivo dal 2007 che presumibilmente ha lavorato fuori dagli edifici di proprietà del PLA. Hanno contribuito a scatenare un'accusa americana in corso contro un gruppo di cinque persone nel 2014.

3Axiom
Cina

Una coalizione di gruppi legati alla sicurezza tra cui Bit9, Microsoft, Symantec, ThreatConnect, Volexity e altri hanno identificato un altro gruppo pericoloso, che hanno soprannominato "Axiom". Il gruppo è specializzato in spionaggio aziendale e targeting per dissidenti politici, e potrebbe avere stato dietro l'attacco del 2010 su Google. Si ritiene che Axiom esca dalla Cina, ma nessuno è ancora riuscito a identificare dove opera il gruppo nella Cina continentale. Un rapporto della coalizione afferma che le attività di Axiom si sovrappongono a "l'area di responsabilità" attribuita alle agenzie di intelligence del governo cinese, un giudizio supportato anche da un flash dell'FBI rilasciato a Infragard.

Il rapporto prosegue descrivendo Axiom come un possibile sottogruppo di un più ampio gruppo senza nome in funzione da oltre sei anni, indirizzando prevalentemente industrie private che sono influenti nella sfera economica. Usano tecniche che vanno da attacchi di malware generici a sofisticati exploit di hacking che possono richiedere anni per manifestarsi. Anche i governi occidentali, le istituzioni pro-democrazia e i dissidenti all'interno e all'esterno della Cina sono stati presi di mira. Il portavoce dell'ambasciata cinese Geng Shuang ha affermato che "a giudicare dalle esperienze passate, questo tipo di rapporti o accuse sono di solito fittizi" e che il governo di Pechino "ha fatto tutto il possibile per combattere tali attività".

2Bureau 121
Pyongyang, Corea del Nord

Ormai, la maggior parte delle persone ha sentito parlare degli attacchi alla Sony Pictures da parte di hacker che si definiscono "Guardians of Peace" (GOP). Il gruppo ha affermato di essere arrabbiato a causa di L'intervista-un film in uscita che descrive l'assassinio grafico del leader della Corea del Nord Kim Jong-un. Guardians of Peace ha persino minacciato attacchi terroristici in stile 9/11 contro le strutture e le sale cinematografiche della Sony se L'intervista è stato rilasciato, insieme agli attacchi contro gli attori e i dirigenti coinvolti. Il GOP ha scritto: "Qualunque cosa accada nei prossimi giorni è chiamata dall'avidità di Sony Pictures Entertainment. Tutto il mondo denuncerà la SONY. "

I legami con la Corea del Nord hanno portato all'accusa che la nazione stessa fosse responsabile di almeno alcuni degli attacchi. Ciò ha spinto un gruppo noto come Bureau 121 nei media. Bureau 121 è un gruppo di cyber warfare di hacker nordcoreani ed esperti di computer. I disertori hanno affermato che il gruppo appartiene al General Bureau of Reconnaissance, l'agenzia di spionaggio militare della Corea del Nord. Si occupa di hack e sabotaggio sponsorizzati dallo stato per conto del governo di Pyongyang contro la Corea del Sud e ha percepito nemici come gli Stati Uniti. Nel 2013, un attacco a 30.000 PC all'interno di banche e società emittenti della Corea del Sud è stato attribuito al gruppo. Secondo alcuni, l'Ufficio 121 comprende circa 1.800 membri che vengono trattati come élite e dotati di abbondanti incentivi come i ricchi stipendi e la possibilità di portare le loro famiglie con sé quando vengono assegnati spazi viventi a Pyongyang. Il disertore Jang Se-yul, che sostiene di aver studiato con il gruppo all'università militare della Corea del Nord per l'informatica, ha detto a Reuters che esistono divisioni estere del gruppo, incorporate in attività legali.

Ma il governo della Corea del Nord è davvero dietro gli attacchi? Un portavoce si è rifiutato di chiarirlo, dicendo solo: "Le forze nemiche mettono in relazione tutto con la Corea del Nord (Corea del Nord). Ti consiglio gentilmente di aspettare e vedere ". La Casa Bianca ha detto alla CNN che" hanno trovato un legame con il governo nordcoreano "e stavano" considerando una serie di opzioni nel valutare una potenziale risposta ". In ogni caso, Sony ha ceduto dentro alle minacce. Dopo che molti teatri hanno interrotto l'apertura natalizia del film, la società l'ha tirato indefinitamente - una mossa che non sembra buona per la libertà di parola in un mondo in cui qualsiasi cyber-bullo con sufficienti capacità di hacking può cavarsela con qualcosa del genere. Nota: dal momento in cui scrivo, Sony ha rilasciato il film in una capacità limitata.

1 Lince nascosta
Cina

"Hidden Lynx" (un nome dato da Symantec) è uno dei più recenti gruppi attivi. Un rapporto del 2013 li descrive come un gruppo di hacker estremamente organizzato ed esperto (circa 50-100 di loro) con una grande quantità di risorse a disposizione e la pazienza di usarle. Utilizzano regolarmente, se non creano, le ultime tecniche di hacking, incluso il loro uso esclusivo di "abbeveratoi". Questo è stato uno dei metodi utilizzati nel 2013 per infiltrarsi nella società di sicurezza basata su cloud Bit9 nel tentativo di ottenere l'accesso al loro clienti.

Queste persone non si limitano a ottenere credenziali di gioco, a bersagliare gli utenti peer-to-peer o il furto di identità (sebbene facciano anche tutto questo).Seguono alcuni degli obiettivi più sicuri al mondo, tra cui industrie della difesa, società di alto livello e governi delle principali nazioni, con attacchi concentrati su Stati Uniti, Cina, Taiwan e Corea del Sud. Sono la quintessenza dell'organizzazione di hacker mercenari in stile hollywoodiano.

Tutte le indicazioni sembrano indicare la Cina come la principale base operativa di Hidden Lynx, ma non è certo che si tratti di una sorta di entità sponsorizzata dallo stato o di un potente gruppo mercenario. Le loro competenze e tecniche avanzate, così come il fatto che la loro infrastruttura e i server di comando e controllo hanno tutte origine in Cina, rendono altamente improbabile che il gruppo non sia supportato.