Cyber: het Zwitserse zakmes van spionage – ESET Research

 

29 januari 2024 - Duizenden jaren lang hebben landen hun buren, bondgenoten en tegenstanders bespioneerd. Vandaag, in de digitaal verbonden wereld, zijn geavanceerde cybercapaciteiten echter een bijzonder krachtig en veelzijdig instrument geworden, zowel voor natiestaten als criminelen.

 Zes voordelen van cyberacties 

Cybercapaciteiten zijn waardevol voor natiestaten die politieke, economische en militaire doeleinden nastreven en bieden grote voordelen tegen relatief lage kosten  inzake  middelen en risico’s.

 1.       Cyberacties kunnen heimelijk plaatsvinden, zodat onopgemerkte toegang tot doelsystemen mogelijk is voor het verzamelen van gegevens of geheime activiteiten, zoals bij incidenten als SolarWinds te zien is.

2.       Ze kunnen ook luid en verstorend of destructief zijn, zoals blijkt uit conflicten in Oekraïne en het Midden-Oosten.

3.       Cybermiddelen zijn manipulatief, nuttig voor het beïnvloeden van scenario's en worden in toenemende mate op de meeste continenten ingezet.

4.       Ze zijn financieel lucratief zoals blijkt uit de activiteiten die aan Noord-Korea(North Korea) worden toegeschreven en die hun militaire programma financieren via ransomware-campagnes.

5.       Ze kunnen uitbesteed worden door acties van derden, zoals huursoldaten of hacktivisten, aan te moedigen die bereid zijnaanvallen uit te voeren voor geld of zelfs politieke doeleinden en overtuigingen.

6.       Ze kunnen met klem ontkend worden, omdat het enige tijd kan duren (bijv. omwille van het overwinnen van verduisteringstechnieken) om de oorsprong van een aanval met zekerheid te achterhalen.

 Het cyberdomein beschikt ook over een verscheidenheid aan tactieken, hulpmiddelen en technieken, ondersteund door een bloeiende darkweb-markt en een eindeloze reeks kwetsbaarheden die men kan uitbuiten. Het gebrek aan significante afschrikmiddelen of bestraffing van cyberactiviteiten vergroot de aantrekkelijkheid van cyberacties voor natiestaten.

Mondiale cyberacties en evoluerende tactieken van grote landen

De toenemende aantrekkingskracht van cybercapaciteiten voor landen is duidelijk, zodat velen ernaar streven hun cyberpotentieel te maximaliseren. Rusland, China, Iran en Noord-Korea worden vaak wegens hun kwaadaardige cyberactiviteiten genoemd. Alle landen spioneren, maar bij sommige landen gebeurt dat buiten de geaccepteerde normen.

Vooral China maakt op grote schaal gebruik van cybermogelijkheden. Inlichtingendiensten van de Five Eyes-landen (Five Eyes nations continually warn) waarschuwen voor de uitgebreide activiteiten van aan China gelinkte groepen die elk continent treffen. Onlangs heeft deze alliantie de omvang en verfijning van de diefstal van intellectuele eigendom en de verwerving van expertise door China benadrukt. Het werd als ongezien omschreven.

Rusland houdt zich, te midden van zijn focus op Oekraïne voor verstoring en vernietiging, ook wereldwijd bezig met cyberspionage, waarbij vooral Europa in het brandpunt zit. Rusland heeft ook in Afrika invloedcampagnes gevoerd, waarbij het zich richtte op regeringen met nauwe westerse banden en die de Russische regering minder ondersteunen.

Noord-Koreaanse groepen blijven zich richten op het verwerven van defensie-gerelateerde technologieën, het genereren van inkomsten uit ransomware en het bespioneren, vooral in Azië. De Lazarus-groep is wellicht de meest beruchte hacker van Noord-Korea, met een vermeende aanval op een Spaans lucht- en ruimtevaartbedrijf (alleged attack on a Spanish  Aerospace firm).

Aan Iran gelinkte groepen breiden hun capaciteiten en reikwijdte uit, verder dan hun traditionele focus op het Midden-Oosten. Ze richten zich vooral op Israël (particularly targeting Israel).

Naast deze bekende spelers ontwikkelt een steeds groter aantal staten hun eigen capaciteiten om cyberacties buiten hun grenzen te voeren of zich op buitenlandse entiteiten te richten, waaronder ambassades, internationale organisaties, bedrijven en individuen, in hun eigen land. Er wordt aangenomen dat de vermeende Wit-Russische groep MoustachedBouncer toegang heeft tot een Wit-Russische telecom-operator om “man in the middle”-aanvallen uit te voeren op buitenlandse entiteiten in Wit-Rusland.

Als de interne capaciteit onvoldoende is, of om de ontkenningsmogelijkheden te vergroten, nemen sommige landen hun toevlucht tot de particuliere sector en cyberhuurlingen. Het aantal landen dat betrokken is bij cyberoperaties zou boven de 50 kunnen liggen en groeit wereldwijd. Volgens CERT-EU zijn er zelfs 151 belangrijke kwaadaardige acties geweest die gericht waren tegen EU-instellingen, onder meer door aan Turkije en Vietnam gelinkte groepen. Deze wereldtrend benadrukt het groeiend belang en de evolutie van het dreigingslandschap.

Een venster op een complexe wereld

Activiteiten in cyberspace zijn een inkijkje in de complexiteit van de geopolitiek. Aanvallen zijn vaak enkel te begrijpen door de lens van politieke bedoelingen. De drie grote mogendheden van deze wereld zijn verwikkeld in een strijd om invloed, welvaart en macht. In de meeste regio's zijn er conflicten, sluimerende spanningen, politieke, veiligheids- en economische uitdagingen. In dit klimaat van instabiliteit, toegenomen concurrentie, vaak gedesillusioneerde bevolkingen en in een steeds meer digitaal verbonden wereld is cyber voor staten een zeer handig instrument. Het komt steeds meer zelden voor dat bilaterale geschillen geen enkele vorm van cyberactiviteit met zich meebrengen, zowel vanuit staten, hun handlangers, als vanuit afgestemde/beïnvloede hacktivisten. Hoewel sommige conflicten in cyberspace tussen landen voorspelbaar zijn, kunnen bilaterale conflicten ook zonder waarschuwing uitbreken.

Spijts inspanningen van de VN lijkt het bereiken van overeenstemming over bindende internationale normen voor redelijk staatsgedrag in cyberspace op de middellange termijn onrealistisch. Met deze ongemakkelijke realiteit wordt de behoefte aan ruime internationale samenwerking, beleidskaders en bewustmakingscampagnes om de risico’s verbonden aan deze kwaadaardige activiteiten te beheersen en te beperken, urgenter dan ooit. Het opbouwen van veerkracht zal een holistische, maatschappij-brede aanpak vergen, daar het cyberdomein een cruciaal slagveld zal blijven in een steeds onrustiger wereld.

OVER ESET

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en X.

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/

Blackwood, nouveau groupe APT aligné sur la Chine, utilisant des implants avancés pour attaquer au Royaume-Uni en Chine, et au Japon, découvert par ESET Research

 

·       ESET Research a découvert l'implant NSPX30 déployé par des mécanismes de mise à jour de logiciels légitimes, tels que Tencent QQ, WPS Office et Sogou Pinyin, et l’attribue à un nouveau groupe APT aligné sur la Chine. ESET l’a nommé Blackwood.

·       ESET a détecté l'implant lors d’attaques ciblées contre des entreprises chinoises et japonaises ainsi que contre des individus au Royaume-Uni, en Chine, au et Japon. Le but de l'attaque : du cyber-espionnage.

·    L'implant a été conçu grâce à la capacité des attaquants à intercepter des paquets, permettant aux opérateurs NSPX30 de cacher leur infrastructure.

 Les chercheurs d'ESET ont découvert NSPX30, un implant sophistiqué utilisé par un nouveau groupe APT aligné sur la Chine, nommé Blackwood par ESET. Pour livrer l'implant, Blackwood exploite les techniques de l'adversaire du milieu et détourne les demandes de mise à jour des logiciels légitimes. Il a mené des opérations de cyber-espionnage contre des personnes et des entreprises au Royaume-Uni, en Chine et au Japon. L'évolution du NSPX30 a été retracé jusqu'à un ancêtre : une simple porte dérobée, nommée Project Wood par ESET. L’échantillon le plus ancien a été compilé en 2005.

 ESET Research a utilisé les noms Blackwood et Project Wood (porte dérobée) sur base d'un thème récurrent dans un nom mutex. Un mutex, ou exclusion mutuelle, est un outil de synchronisation pour contrôler l'accès à une ressource partagée. L'implant Project Wood de 2005 semble être dû à des développeurs expérimentés dans la création de maliciels, d’après les techniques utilisées. ESET estime que l’acteur malveillant aligné sur la Chine nommé Blackwood opère déjà depuis 2018. En 2020, ESET a détecté une recrudescence d’activités malveillantes sur un système situé en Chine. La machine est devenue ce qu’on appelle un « aimant à menaces », ESET Research a détecté des tentatives d'attaquants utilisant des kits d'outils malveillants associés à divers groupes APT.

D’après la télémétrie d’ESET, l'implant NSPX30 a été détecté il y a peu sur un petit nombre de systèmes. Parmi les victimes il y a des personnes non identifiées situées en Chine et au Japon, une personne non identifiée parlant chinois et connectée au réseau d'une université de recherche publique de haut niveau au Royaume-Uni, une grande entreprise manufacturière et commerciale en Chine et les bureaux chinois d'un société japonaise du secteur de l'ingénierie et de la fabrication. ESET a aussi observé que les attaquants tentent de compromettre à nouveau les systèmes s’ils perdent l'accès.

NSPX30 est un implant à plusieurs étages comprenant plusieurs composants, tels qu'un dropper, un installateur, des chargeurs, un orchestrateur et une porte dérobée. Les deux derniers composants ont leurs propres ensembles de plugins qui implémentent des capacités d'espionnage pour plusieurs applis dont Skype, Telegram, Tencent QQ et WeChat, etc. Il peut aussi s'inscrire sur liste verte de plusieurs solutions antimalware chinoises. Grâce à sa télémétrie, ESET Research a détecté que les machines sont compromises lorsqu'un logiciel légitime tente de télécharger des mises à jour depuis des serveurs légitimes à l'aide du protocole HTTP (non chiffré). Les mises à jour de logiciels piratés incluent des logiciels chinois populaires, tels que Tencent QQ, Sogou Pinyin et WPS Office. L’objectif fondamental de la porte dérobée est de communiquer avec son contrôleur et d’exfiltrer les données collectées; il peut prendre des captures d'écran, enregistrer des frappes et collecter différentes informations.

La capacité d’interception des attaquants leur permet de rendre anonyme leur véritable infrastructure. L’orchestrateur et la porte dérobée contactent des réseaux légitimes de Baidu Inc. pour télécharger des nouveaux composants ou exfiltrer des informations. ESET estime que le trafic d'apparence légitime généré par NSPX30 est transmis à l'infrastructure des attaquants par un mécanisme d'interception inconnu qui effectue aussi des attaques d'adversaire du milieu.

« Nous ne savons pas exactement comment les attaquants peuvent diffuser NSPX30 sous forme de mises à jour malveillantes, car nous n'avons pas encore découvert l'outil qui, dans un premier temps, leur permet de compromettre leurs cibles », explique Facundo Muñoz, le chercheur d'ESET qui a découvert NSPX30 et Blackwood. « Mais sur base de notre expérience avec des pirates alignés sur la Chine qui ont ces capacités, ainsi que des recherches récentes sur les implants de routeurs attribués à MustangPanda, un autre groupe aligné sur la Chine, nous pensons que les attaquants déploient un réseau d’implants dans les réseaux des victimes. Probablement sur des appareils réseau vulnérables, tels que des routeurs ou des gateways (passerelles) », conclut Muñoz.

Pour plus d'informations techniques sur le nouveau groupe APT aligné sur la Chine, Blackwood et son implant NSPX30, consultez le blog “NSPX30: A sophisticated AitM-enabled implant evolving since 2005. Suivez aussi ESET Research on Twitter (today known as X)

A propos d’ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/