Blackberry heeft een nieuw onderzoek gepubliceerd waarin wordt onderzocht hoe vijf verwante advanced persistent threat (apt)-groepen, die voor de Chinese overheid werkten, zich tien jaar lang onopgemerkt en systematisch hebben gericht op Windows-systemen, mobiele apparaten en vooral Linux.
‘Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android’. Zo heet het rapport dat Blackberry publiceert en dat inzicht biedt in wijdverbreide economische spionageoperaties gericht op intellectueel eigendom. De RAT staat in dit geval niet enkel voor het dier, maar ook voor ‘remote access trojan’.
In het rapport evalueren Blackberry-onderzoekers de activiteiten van vijf verwante, Chinese apt-groepen. Ze noemen zichzelf Innti Group, Passcv, Bronze Union, Casper (Lead) en Wlnxsplinter. Ze bestaan hoofdzakelijk uit civiele contractanten die in het belang van de Chinese regering werken en die eenvoudig oplossingen, technieken, infrastructuur en informatie met elkaar en met hun overheidscollega’s delen. De afgelopen tien jaar vielen ze organisaties aan via cross-platform attacks, meestal zonder dat iemand het ooit opmerkte. Omdat hun methodes, procedures en tools veelal gelijkaardig zijn, worden ze door Blackberry aan mekaar gelinkt.
Op Linux draaien
De tools die bij deze aanvallen werden geïdentificeerd, zijn klaar om te profiteren van de massale oproep om vanuit huis te werken. Door het verminderde aantal fysiek aanwezige medewerkers die de veiligheid van deze kritieke systemen bewaken, is het risico nog groter. Terwijl de meerderheid van de werknemers niet meer op kantoor werkt om verspreiding van corona in te dammen, blijft intellectuele eigendom immers in de datacenters van bedrijven, waarvan de meeste op Linux draaien.
Daarnaast draaien bijna alle grote websites op Linux, maar ook driekwart van alle webservers, 98 procent van de supercomputers in de wereld en driekwart van de grote cloud-aanbieders. De meeste grote organisaties vertrouwen ook op Linux voor hun websites, proxy netwerkverkeer en voor het opslaan van waardevolle data. In het rapport wordt beschreven hoe apt’s gebruik hebben gemaakt van de ‘altijd aan, altijd beschikbaar’-filosofie van Linux-servers om een ‘frontlinie voor aanvallen’ op te zetten over een groot aantal doelen.
‘Linux is normaliter niet gericht op de gebruiker. De meeste beveiligingsbedrijven richten hun engineering- en marketingaandacht op producten ontworpen voor de front office in plaats van het serverrack, dus de dekking voor Linux is schaars’, zegt Eric Cornelius, chief product architect bij Blackberry. ‘Deze apt-groepen hebben zich op dat gat in de beveiliging gericht en hebben het voor hun strategisch voordeel gebruikt om jarenlang intellectueel eigendom te stelen van specifieke sectoren, zonder dat iemand het in de gaten had.’
Analyse
Het onderzoek biedt ook een analyse van aanvallen die zijn ontworpen om beveiliging te omzeilen door het gebruik van Windows-malware die gebruikmaakt van adware-codetekeningscertificaten. Dit is een tactiek waarvan de aanvallers hopen dat deze het aantal infecties verhoogt omdat alle rode vlaggen worden afgedaan als weer een zoveelste notificatie in een constante stroom van adware-waarschuwingen. In dit rapport worden meerdere vormen van malware onderzocht die vergezeld gaan van de adware code-signing-certificaten.
Het onderzoek identificeert twee nieuwe voorbeelden van Android-malware. Een van de Android-malware onderdelen lijkt sterk op de code in een commercieel verkrijgbare penetratietesttool, maar de malware blijkt bijna twee jaar geleden te zijn gemaakt. Nog voordat de commerciële tool voor het eerst beschikbaar werd gesteld voor aankoop.
