Dela med sig:
10 Ominous State-sponsrade Hacker Groups
Hackergrupper är det snabbast växande hotet mot nationerna idag - inte så mycket de "hacktivister" som vi hör om men extremt professionella grupper som arbetar för regeringar som vi inte hör av. Statligt sponsrade hackergrupper har förmåga att snyta in i medierna, de stora företagen, försvarsdepartementet och ja-regeringarna och orsaka förödelse. Även säkerhetsföretag som är utformade för att stoppa dem kan infiltreras.
Situationen är så dålig, den beskrivs som ett annat "kallt krig" och den här är verkligen global och i stort sett osynlig. Även företags varumärken riktas mot stater som söker en ekonomisk fördel gentemot konkurrerande länder. Eftersom datorskydd är skrattsamt lätt för hackare att komma i kompromiss blir offensiva möjligheter mer frestande, tills till sist alla attackerar varandra. Det är bara en fråga om tid innan cyberattacker betraktas som en handling av verkligt krig (en ståndpunkt som USA redan är vred mot). Hackergrupper som de så kallade "Guardians of Peace" har redan hotat våldsamma terrorattacker och begränsat yttrandefriheten i Hollywood.
Här är 10 av nyckelaktörerna i detta nya katt-och-musspel av spionage, sabotage och krigföring.
10Syriska elektroniska armén (SEA)
syrien
Den syriska elektroniska armén (SEA) åtnjöt berömmelse och ett slags kärleksrelaterat förhållande med medierna 2011-2013. Gruppen består mestadels av universitetsstudenter i Syrien eller dess allierade, som ofta levererar propaganda till den syriska presidenten Bashar al-Assad. Deras högprofilerade hacks av stora mediautbud inkluderade New York Times, olika Twitter konton, och även Lök (vars retort var ganska minnesvärt), vilket fick dem ett motvilligt respekt bland säkerhetsföretag.
Sydafrika organiserade också framgångsrika attacker mot CNN, Washington Post, och Tid 2013. Slutligen övertygade gruppen allmänheten att en explosion hade gått i Vita huset och skadade president Obama. Detta störde kort aktiemarknaden, vilket ledde till att Dow Jones-indexet sänktes med en hel procent.
SEA-hackarna har också varit kända för att engagera sig i mörkare ansträngningar, såsom inriktning och skrämmande individer som de inte håller med eller som inte stöder Assad. Medan de hävdar att de är enkla patrioter, erkänner de också att vidarebefordra relevant information till staten, vilket illustrerar den skrymmande linjen mellan hacktivister och statssponserade hackare. SEA arbetar huvudsakligen genom användning av "spjutfiskning", en delvis socialt konstruerad metod där en användare luras på att ge ut lösenord eller annan känslig information, ofta genom att bli riktad till en falsk webbplats som är inrättad för detta ändamål.
I november 2014 återvände SEA och "hackade" ett antal webbplatser med hjälp av ett innehållsleveransnätverk med en popup som läste: "Du har hackats av den syriska elektroniska armén."
9Tarh Andishan
iran
År 2009 lämnade Iran en kraftigt kompromitterad och minskad datorinfrastruktur efter den allmänt publicerade Stuxnet-maskattackan. Iran svarade genom att höja sin hacking kapacitet från enkel webbplats defacement till fullblåst cyber warfare. Således föddes en statssponserad hackergrupp som heter "Tarh Andishan" ("Thinkers" eller "Innovators" på Farsi).
Gruppen har fått framträdande med "Operation Cleaver", en kampanj som har varit aktiv sedan 2012 och har inriktat sig på minst 50 organisationer över hela världen inom militära, kommersiella, pedagogiska, miljö, energi och flygfält. Chillingly har de också riktat sig till stora flygbolag och i vissa fall till och med fått "fullständig åtkomst" till flygportar och styrsystem, "möjligen tillåta dem att skymma gateuppgifter". Cyber Security Firm Cylance, som ännu inte har kommit fram till gruppens långsiktiga mål, släppte en tidig rapport om Tarh Andishan (som endast representerar en bråkdel av gruppens verksamhet) på grund av rädsla för att Operation Cleaver redan utgör en "stor risk för världens fysiska säkerhet".
Rapporten presenterar bevis som kända hackerhandtag, iranska domännamn, infrastrukturhotell och andra indikatorer. Cylance anser att den infrastruktur som finns tillgänglig för Tarh Andishan är för stor för att vara ett enskilt eller en liten grupps arbete. Tarh Andishan använder avancerade tekniker som sträcker sig från SQL-injektion, avancerade användningsområden och automatiserade maskformiga förökningssystem, bakdörrar och mycket mer. De anses ha cirka 20 medlemmar, främst från Teheran med hjälpmedlemmar i Kanada, Storbritannien och Nederländerna. Dess offer inkluderar USA och Centralamerika, delar av Europa, Sydkorea, Pakistan, Israel och flera andra Mellanösternregioner.
8Dragonfly / Energetic Bear
Östeuropa
En grupp som Symantec kallar "Dragonfly-bandet" och andra säkerhetsföretag har kallat "Energetic Bear" har drivit sig från Östeuropa och riktar sig främst till energibolag sedan omkring 2011. Före det var det riktat mot flyg- och försvarssektorer, vanligtvis i USA och Kanada. Symantec säger att hackergruppen "bär kännetecknen för en statssponserad operation, som visar en hög grad av teknisk kapacitet." Det upptäcktes först av det ryska säkerhetsföretaget Kaspersky Labs.
Dragonfly använder fjärråtkomst trojaner (RAT) som deras egna Backdoor.Oldrea och Trojan.Karagany malware verktyg för att spionera på energiindustrins mål, även om metoderna också kan användas för industriell sabotage. Malware är vanligtvis kopplad till phishing-e-post, även om hackarna nyligen har uppgraderat till "vattenhål" -metoder för inriktning: att kompromissa med webbplatser som ett mål är känt för ofta.Målen skickas sedan i en serie omdirigeringar tills Oldrea eller Karagany kan introduceras i ett offerets system. I de senare skeden av kampanjen lyckades de även infektera legitim mjukvara, som skulle hämtas och installeras som vanligt tillsammans med oönskade skadliga program.
Liksom Stuxnet före det var Dragonfly-kampanjen en av de första stora ansträngningarna att direkt rikta sig mot industriella kontrollsystem. Till skillnad från Stuxnet, som endast riktade mot Irans kärntekniska program, var Dragonfly-kampanjen utbredd, med långsiktig spionage och tillgång som huvudmål och förmågan att begå allvarlig sabotage som en valfri men skrämmande förmåga.
7Tailored Access Operations, NSA
usa
I efterdyningarna av Stuxnet kommer USA inte att lämnas kvar i cyberkrig och spionage. Landet förbehåller sig rätten att "använda alla nödvändiga medel-diplomatiska, informativa, militära och ekonomiska, i enlighet med vad som är lämpligt och i överensstämmelse med tillämplig internationell rätt." Amerikas statliga sponsrade hackinggrupp är skräddarsydda åtkomstoperationer (TAO) som drivs av National Security Agency . Det är gruppen som ansvarar för att göra Edward Snowden berömd efter den tyska tidningen Der Spiegel läckta detaljer som avslöjar TAO och det faktum att NSA hade samlat telefondata från tusentals amerikaner och utländska intelligensmål.
Sedan åtminstone 2008 kunde TAO också fånga upp PC-leveranser (där den skulle avlyssna datorn och placera spionprogramvara inuti), utnyttja hårdvaru- och programvara sårbarheter och hacka företag som sofistikerade som Microsoft (vilket TAO angivligen gjorde via Microsofts kraschrapportdialog lådor tillsammans med det vanliga sortimentet av ultra-sofistikerade cyber warfare tekniker).
Organisationen är inte så hemlighetsfull idag, och anställda listar sig även på LinkedIn, men det är lika upptagen - förhoppningsvis mot utländska fiender den här gången. Deras 600 anställda-starka huvudkontor ligger i det huvudsakliga NSA-komplexet i Fort Mead, Maryland. För att få en uppfattning om sin nuvarande verksamhet, fråga bara Dean Schyvincht, som hävdar att han är en TAO Senior Computer Network Operator från Texas Office. Han säger att "över 54 000 globala nätverksutnyttjande (GNE) -operationer till stöd för nationella efterlysningsagenturs krav" har genomförts från och med 2013 med en personal på bara 14 personer under hans ledning. Vi kan bara föreställa oss vad Fort Mead är upp till.
6Ajax Security Team / Flying Kitten
iran
Ajax startade 2010 som en grupp av "hacktivists" och webbplatsdefekterare från Iran, men de gick från aktivism till cyberspionage och utflykt av politiska dissidenter. De nekar att vara statssponsorerade, men många tror att de anställdes av den iranska regeringen - ett allt vanligare mönster där en grupp uppmärksammar en regering genom sina offentliga aktiviteter för att få statligt sponsring.
Ajax uppmärksammades av säkerhetsföretag och grupper som CrowdStrike när en serie misstag (en av vilka gav utredare en medlems verkliga e-postadress) utsatta försök att rikta sig mot USA: s försvarsindustri och iranska dissidenter. Firman FireEye anser att Ajax var ansvarig för "Operation Saffron Rose" - en serie av phishing-attacker och försök att spoofa Microsoft Outlook Web Access och VPN-sidor för att få information och legitimationsuppgifter inom den amerikanska försvarsindustrin. Gruppen avslöjade också dissidenter genom att locka in dem med korrupta anti-censurverktyg.
Grupper som detta visar ett växande "gråområde" mellan cyberspionagefunktionerna hos Irans hackergrupper och någon direkt iransk regering eller militärt engagemang. "Denna suddlinje mellan grupper och regeringar kommer sannolikt att bli mer uttalad i framtiden.
5APT28
ryssland
"APT" står för "avancerat kvarhållande hot", en beteckning som används i rapporter om hackergrupper av säkerhetsföretag. Ibland, när det inte finns något annat att gå på, kallas sådana grupper efter dessa rapporter. Sådan är fallet med en farlig grupp som heter "APT28" och tros fungera från Ryssland. Det har varit i avancerad cyberspionage sedan minst 2007.
Ryssland anses vara en av världens ledare inom cyberkrig, men det är svårt att hitta avgörande bevis som länkar APT28 till Moskva. Enligt FireEyes vice president för hot intelligence visar deras rapport att de skadliga programmen och verktygen som används och skapas av APT28 tydligt anger "ryska talare som arbetar under öppettider som överensstämmer med tidszonen i Rysslands större städer, inklusive Moskva och St Petersburg .”
Gruppen utnyttjade en rad metoder och attacker mot militära och politiska mål i USA och Östeuropa, inklusive specifikt värdefulla mål för Ryssland som Georgien. Det är till och med riktade Nato, och i en annan rapport har ett Vita husets tjänsteman bekräftat att gruppen hackade sig in i oklassificerade White House-nät och kan ha riktat sig mot Ukraina.
4Unit 61398 / Kommentar Crew / Putter Panda
Kina
https://www.youtube.com/watch?v=YqiaVMCVCSQ
År 2013 släppte Mandiant en rapport som hävdade att han hade fångat Kina med handen i informationskakanburken. Mandiant drog slutsatsen att en grupp som arbetar för den kinesiska militärens elit Enhet 61398 stal hundratals terabyte data från minst 141 organisationer i engelsktalande länder. Mandiant baserade denna påstående på bevis som Shanghai IP-adresser, datorer som använder förenklade kinesiska språkinställningar och indikationer på att många individer snarare än automatiserade system var bakom attackerna.
Kina avvisade påståenden, säger att rapporten "är inte baserad på fakta" och "saknar tekniskt bevis". Brad Glosserman, verkställande direktör för Center for Strategic and International Studies Pacific Forum motbevisade detta och påpekade att bevisen - när den togs tillsammans med den typ av information som stulits - stöder inte ett avslag. Mandiant visste även var de flesta attackerna kom ifrån: en 12-våningsbyggnad strax utanför Shanghai där hackarna hade tillgång till kraftfulla fiberoptiska kablar.
Omkring 20 högprofilerade hackergrupper rapporteras komma från Kina, och åtminstone vissa av dem menas att rapportera till Folkets befrielsearmé (kinesisk militär). Detta inkluderar Comments Crew and Putter Panda, en hackergrupp som är aktiv sedan 2007, som påstås ha utarbetat av PLA-ägda byggnader. De hjälpte till att utlösa en pågående amerikanska anklagelse mot en grupp av fem personer i 2014.
3Axiom
Kina
En koalition av säkerhetsrelaterade grupper, inklusive Bit9, Microsoft, Symantec, ThreatConnect, Volexity och andra, har identifierat en annan farlig grupp, som de kallat "Axiom." Gruppen är specialiserad på företagsaspionage och inriktning mot politiska dissidenter, och det kan ha varit bakom attacken 2010 på Google. Axiom tros komma ut ur Kina, men ingen har ännu kunnat identifiera var på fastlandet Kina arbetar. En rapport från koalitionen uppgav att Axioms verksamhet överlappades med "ansvarsområdet" som tillskrivs den kinesiska regeringens underrättelsetjänster, en dom som också stöds av en FBI-blixt som släpptes till Infragard.
Rapporten fortsätter att beskriva Axiom som en möjlig undergrupp för en större, icke namngiven koncern i drift i mer än sex år, med inriktning på främst privata industrier som är inflytelserika på den ekonomiska sfären. De använder tekniker som sträcker sig från generiska malwareattacker till sofistikerade hackningsutövningar som kan ta år att manifestera. Västliga regeringar, demokratinstitutioner och dissidenter inom och utanför Kina har också riktats in. Kinesiska ambassadens talesman Geng Shuang uppgav att "dömande från tidigare erfarenheter, sådana rapporter eller påståenden är vanligtvis fiktiva" och att regeringen i Peking "har gjort vad som helst för att bekämpa sådana aktiviteter."
2Bureau 121
Pyongyang, Nordkorea
Hittills har de flesta hört talas om attackerna på Sony Pictures av hackare som kallar sig "Guardians of Peace" (GOP). Gruppen hävdade att vara upprörd på grund av Intervjun-En kommande film som visar den grafiska mördningen av Nordkoreas ledare Kim Jong-un. Fredens väktare hotade även 9/11-terroristattacker mot Sony-anläggningar och biografer om Intervjun släpptes, tillsammans med attacker mot de berörda aktörerna och ledarna. GOP skrev: "Vad som kommer under de kommande dagarna kallas av grådigheten av Sony Pictures Entertainment. Hela världen kommer att säga upp SONY. "
Banden med Nordkorea har lett till anklagelser om att nationen själv var ansvarig för åtminstone några av attackerna. Detta har drivit en grupp som kallas Bureau 121 i media. Bureau 121 är en cyber krigföringskadre av nordkoreanska hackare och dator experter. Defectors har hävdat att gruppen tillhör den allmänna kontoret för rekognosering, Nordkoreas militära spionagentur. Den engagerar sig i statligt sponsrade hack och sabotage på uppdrag av Pyongyang-regeringen mot Sydkorea och upplevde fiender som USA. År 2013 tillskrivades en attack på 30 000 datorer inom sydkoreanska banker och sändningsföretag. Enligt vissa består presidiet 121 av cirka 1800 medlemmar som behandlas som eliter och försörjs med rikliga incitament som rika löner och förmågan att föra sina familjer med dem när de tilldelas levande utrymmen i Pyongyang. Defektör Jang Se-yul, som hävdar att han har studerat med gruppen i Nordkoreas militärhögskola för datavetenskap (University of Automation), berättade för Reuters att utomeuropeiska divisioner av gruppen existerar, inbäddade i legitima företag.
Men är Nordkoreas regering verkligen bakom attackerna? En talesman vägrade att klargöra det och sade bara: "De fientliga krafterna är relaterade till allt till Nordkorea. Jag rekommenderar dig att bara vänta och se. "Vita huset berättade för CNN att de" har hittat kopplingar till den nordkoreanska regeringen "och var" överväger en rad alternativ för att väga ett potentiellt svar. "Hur som helst, Sony caved in i hoten. Efter att många teatrar släppte filmens julöppning drog bolaget det obestämt - ett drag som inte ser bra ut för yttrandefrihet i en värld där någon cyberbully med tillräckliga hackingskunskaper kan komma undan något liknande med detta. Obs! Sedan skrivandet har Sony släppt filmen i begränsad kapacitet.
1Hidden Lynx
Kina
"Hidden Lynx" (ett namn som ges av Symantec) är en av de nyaste aktiva grupperna. En rapport från 2013 beskriver dem som ett extremt organiserat och erfaret team av hackare (cirka 50-100 av dem) med en stor mängd resurser till sitt förfogande och tålamod att använda dem. De brukar använda sig av - om inte skapa - de senaste hackteknikerna, inklusive deras signaturanvändning av "vattenhål". Detta var en av de metoder som användes 2013 för att infiltrera det molnbaserade säkerhetsföretaget Bit9 i ett försök att få tillgång till deras klienter.
Dessa människor engagerar sig inte bara i att få spelautentiseringsuppgifter, inriktning mot peer-to-peer-användare eller identitetsstöld (även om de gör allt detta).De går efter några av de mest säkra målen i världen, inklusive försvarsindustrier, högnivågrupper och regeringar i stora nationer, med attacker koncentrerade i USA, Kina, Taiwan och Sydkorea. De är den klassiska legendariska hackerorganisationen i Hollywood.
Alla indikationer tycks peka på Kina som Hidden Lynx huvudsakliga verksamhetsbas, men det är inte säkert om det är någon slags statligt sponsrad enhet eller en kraftfull legosoldatgrupp. Deras avancerade färdigheter och tekniker - liksom det faktum att deras infrastruktur och kommando- och kontrollservrar alla kommer från Kina - gör det mycket osannolikt att gruppen inte stöds.