Znany chiński cyberprzestępca sponsorowany przez państwo używa nowego trojana zdalnego dostępu (RAT) w swoich kampaniach szpiegowskich przeciwko firmom na całym świecie. Badacze cyberbezpieczeństwa z Unit 42, oddziału zajmującego się cyberbezpieczeństwem Palo Alto Networks, opublikowali niedawno raport, w którym twierdzą, że Gallium, jak wiadomo, używa złośliwego oprogramowania (otwiera się w nowej karcie) o nazwie Ping Pull .
PingPull to „trudny do wykrycia” backdoor, który komunikuje się z serwerem dowodzenia i kontroli (C2) za pośrednictwem niezbyt popularnego protokołu Internet Control Message Protocol (ICMP). Opiera się na języku C++ i umożliwia hakerom wykonywanie dowolnych poleceń na zaatakowanym punkcie końcowym (otwiera się w nowej karcie).
„Próbki PingPull korzystające z protokołu ICMP do komunikacji C2 wysyłają pakiety żądania echa ICMP (ping) do serwera C2” – czytamy w raporcie. „Serwer C2 odpowie na te żądania echa pakietem odpowiedzi echa, aby wysłać polecenia do systemu”.
telekomunikacja docelowa
Unit 42 znalazł również wersje PingPull, które komunikują się przez HTTPS i TCP, a także ponad 170 adresów IP (otwiera się w nowej karcie), które mogą być powiązane z galem.
Według publikacji, sponsorowany przez państwo cyberprzestępca został po raz pierwszy zauważony dziesięć lat temu, po czym został powiązany z atakami na pięć głównych firm telekomunikacyjnych w Azji Południowo-Wschodniej. Zaobserwowano również, że gal atakuje firmy w Europie i Afryce. Cybereason nazywa go również Soft Cell.
Jury nadal nie wyjaśnia, w jaki sposób grupie udało się skompromitować sieci docelowe, a media spekulują, że nie odbiega ona zbytnio od swojej zwykłej metodologii wykorzystywania aplikacji znajdujących się w Internecie. Następnie użyje tych aplikacji do rozmieszczenia wirusów (otwiera się w nowej karcie) lub powłoki internetowej China Chopper.
„Gal pozostaje aktywnym zagrożeniem dla telekomunikacji, finansów i organizacji rządowych w Azji Południowo-Wschodniej, Europie i Afryce” – dodali naukowcy. „Chociaż użycie tuneli ICMP nie jest nową techniką, PingPull wykorzystuje ICMP, aby utrudnić wykrycie komunikacji C2, ponieważ niewiele organizacji wdraża inspekcję ruchu ICMP w swoich sieciach”.
Przez: Hacker News (Otwiera się w nowej karcie)