Hacker-for-Hire-Typ hat in 18 Monaten mehr qua 3.500 Ziele ausspioniert
[ad_1]
Eine russischsprachige Hacker-for-hire-Typ hat heimlich Tausende von Einzelpersonen und Organisationen weltweit ausspioniert und höchst private Informationen oben sie an verschiedene Kunden verkauft, motiviert durch finanziellen Glückslos und durch politisch motivierte Absichten.
Forscher von Trend Micro, die die Aktivitäten dieser Cyber-Söldnergruppe verfolgt nach sich ziehen, nach sich ziehen es Void Balaur genannt, nachher einer legendären mehrköpfigen Kreatur in dieser osteuropäischen Folklore. In einem Report hinaus dieser Kongress Black Hat Europe 2021 ebendiese Woche beschrieben die Forscher die Typ qua wahrscheinlich schon im September 2015 angeschaltet.
Zu den Dienstleistungen von Void Balaur gehörten dasjenige Einbrechen und Stehlen von Datenansammlung aus Email-Konten sowie dieser Erwerb und Verkauf einer breiten Palette sensibler personenbezogener Datenansammlung von Zielpersonen. Zu den Informationen, die die Typ erworben und an ihre Kunden verkauft hat, in Besitz sein von Passdaten, SMS-News, Telefongesprächsaufzeichnungen (einschließlich Mobilfunkmasten-Protokolldaten), Anruferinformationen und -standort, Informationen oben gekaufte Tickets zu Händen Flugreise- und Zugfahrten oben Säumen hinweg, Verkehrskamera-Shorts, Interpol-Aufzeichnungen und Kreditauskünfte.
Zu den Zielen gehörten Volksvertreter, Menschenrechtsaktivisten, Dissidenten, Wissenschaftler, Ärzte, Journalisten und Ingenieure. Untersuchungen von Trend Micro zeigen, dass Void Balaur oben zusammenführen Zeitraum von 18 Monaten Datenansammlung von mehr qua 3.500 Zielen gestohlen hat, von denen manche weit anhaltende und wiederholte Angriffe erlebten. Unter den Opfern waren Volksvertreter in Usbekistan und Weißrussland sowie in anderen Ländern, darunter die Ukraine, Russland, Norwegen, Französische Republik, Italien und Armenien.
Trend Micro sagte, es sei gelungen, den Bedrohungsakteur mit Angriffen in Usbekistan in Vernetzung zu herbringen, von denen Amnesty International im vergangenen Jahr berichtet hatte, dass sie schwerwiegende Auswirkungen hinaus dasjenige Leben einiger Personen in diesem Nationalstaat nach sich ziehen. Wenige Todesopfer fühlten sich durch die Aktivitäten von Void Balaur so bedroht, dass sie ihr Nationalstaat verließen und in andere Länder ins Verbannung gingen, sagte Trend Micro.
„Wir betrachten Void Balaur qua Cyber-Söldner, dieser potenziell von jedem angeheuert werden kann“, sagt Feike Hacquebord, Senior Threat Researcher unter Trend Micro und Dramatiker des Trend Micro-Berichts. Die Ziele von Void Balaur sind vielfältig, sagt er. „Ein Ziel könnte ein lokales Geschäftslokal in Moskau, ein Modedesigner in New York, ein hochkarätiger Journalist, ein Weißkittel in dieser Ukraine, ein Veterinärwissenschaftler in Indien, ein Mediziner in Brasilien, ein Militärsöldner in Südafrika oder . sein ein Volksvertreter, dieser keine andere Möglichkeit sah, qua ins Ausland zu möglich sein.”
Hacquebord sagt, dass Trend Micro die Kunden dieser Bedrohungsgruppe nicht identifizieren konnte. Wenige von ihnen scheinen Mitglieder von Untergrundforen zu sein – wie Probiv, Darkmoney und Tenec – die mit allen Arten von gestohlenen Datenansammlung und Zugangsdaten handeln. Es ist jedoch unwahrscheinlich, dass ebendiese Mitglieder den Hauptanteil dieser Kunden dieser Bedrohungsgruppe darstellen. “Leere Balaur [has been] angeschaltet in Untergrundforen wie Probiv [only] seit dem Zeitpunkt 2018, während wir die Aktivitäten solange bis 2015 zurückverfolgen konnten”, sagt Hacquebord. “Dies zeigt, dass produktive Kunden den Weg zu Void Balaur fanden, noch vor sie in Untergrundforen angeschaltet waren.”
Gruppen Taktiken, Techniken und Verfahren Sind unklar
Die Forscher von Trend Micro konnten bisher nicht genau herausfinden, wie es den Mitgliedern von Void Balaur gelungen ist, hinaus manche dieser Datenansammlung zuzugreifen, die sie in den letzten Jahren zum Verkauf bereitgestellt nach sich ziehen. Während die Typ wie in einigen Fällen scheinbar oben Credential-Phishing und Zero-Click-Zero-Day-Exploits hinaus Email-Konten zugegriffen hat, scheint es in anderen Fällen gelungen zu sein, Kopien von Postfächern ohne Benutzerinteraktion zu erwerben. Sie hätten dies wie tun können: während sie wichtige Mitwirkender unter einigen Email-Anbietern dazu herbringen, die Datenansammlung wissentlich zu verkaufen, oder während sie Konten von wichtigen Mitarbeitern mit Zugriff hinaus gezielte Email-Postfächer kompromittieren. Ein weiteres Szenario ist, dass es dem Bedrohungsakteur gelungen ist, dasjenige Konto von Strafverfolgungspersonal mit legalem Zugriff hinaus die kompromittierten Postfächer zu kompromittieren, oder dass die Systeme des Email-Anbieters zerschunden wurden.
Ebenso ist unklar, wie Void Balaur sensible und vollständige Anrufaufzeichnungen mit und ohne Mobilfunkmastinformationen erhalten konnte. Trend Micro vermutete, dass Mitglieder dieser Typ Insider von Telekommunikationsunternehmen zu Händen die Datenansammlung bestochen nach sich ziehen könnten. Eine andere Möglichkeit besteht darin, dass es dem Bedrohungsakteur gelungen ist, Konten von Schlüsselpersonal und Ingenieuren großer Telekommunikationsunternehmen zu kompromittieren. Datenansammlung, die Trend Micro analysierte, zeigten wie, dass Void Balaur zu verschiedenen Zeiten hinaus den stellvertretenden Rektor eines russischen Telekommunikationsunternehmens abzielte; leitende Netzwerkingenieure unter Telekommunikationsunternehmen in den USA, Großbritannien und Russland; und die Netze eines Herstellers von Mobilfunkgeräten in Russland und eines Funknavigationsunternehmens im selben Nationalstaat.
Andere Organisationen, die ins Visier genommen wurden, sind Mobilfunkunternehmen, Provider von Mobilfunkgeräten, Satellitenkommunikationsunternehmen, Geldautomatenhersteller, Provider von Point-of-Sale-Systemen, Finanzunternehmen und Biotechnologieunternehmen.
Die Rückmeldungen oben die Typ in Untergrundforen seien durchweg positiv gewesen, sagt Hacquebord. Mehrere Kunden nach sich ziehen Void Balaur qua sehr schnell beschrieben, um ihnen Informationen zu liefern. Wenige von Trend Micro verfolgte Kampagnen zeigen jedoch, dass die Typ nicht zuletzt an Kampagnen beteiligt war, die oben zusammenführen längeren Zeitraum hinaus eine bestimmte Organisation oder Typ von Organisationen in Linie gebracht waren.
“Unter einem bestimmten Oligarchen nach sich ziehen wir wie gesehen, dass die CEOs seiner Unternehmen, seine Familienmitglieder und seine Vorstandsmitglieder oben mehr qua ein Jahr hinweg ins Visier genommen wurden”, sagt Hacquebord. In einem anderen Kasus zielte die Bedrohungsgruppe hinaus den ehemaligen Chef eines Geheimdienstes und später hinaus mehrere Ressortchef und Parlamentsabgeordnete dieser Regierung desselben Landes. Wenige Wochen später wurden dieser Anwalt des ehemaligen Geheimdienstchefs und sogar dieser Richter, dieser oben zusammenführen mutmaßlichen Korruptionsfall entschied, im Rahmen derselben Operation ins Visier genommen. „Mit anderen Worten, manche Kampagnen sind sehr weit und einbeziehen mehrere Ziele“, sagt Hacquebord.
Für jedes Unternehmensorganisationen ist die wichtigste Erkenntnis, dass ihre Mitwirkender oben ihre privaten oder geschäftlichen Email-Konten durchaus zum Ziel eines Cyber-Söldners werden könnten. Wie Void Balaur gezeigt hat, können solche Gruppen hartnäckig sein und oben zusammenführen längeren Zeitraum Zähne zeigen. “Die Verteidigung gegen zusammenführen Cyber-Söldner ist sowohl leicht qua nicht zuletzt schwierig”, bemerkt Hacquebord. Es ist leicht, wenn Unternehmen grundlegende Cyber-Hygiene-Praktiken befolgen, z. B. nur seriöse Email-Provider verwenden, Zwei-Merkmal-Authentifizierung verwenden, eine Finale-zu-Finale-Verschlüsselung implementieren und Weib Datenansammlung und News löschen, die nicht mehr verwendet werden.
“Wirklich”, fügt er hinzu, “reicht dieser allgemeine Rat nicht aus, um sich gegen Zero-Days und Cyber-Söldner zu verteidigen, die irgendwie in dieser Standpunkt sind, an sensible Informationen zu gelangen.” [from] Dienstleister.”