Znany chiński cyberprzestępca sponsorowany przez państwo używa nowego trojana zdalnego dostępu (RAT) w swoich kampaniach szpiegowskich przeciwko firmom na całym świecie. Badacze cyberbezpieczeństwa z Unit 42, oddziału zajmującego się cyberbezpieczeństwem Palo Alto Networks, opublikowali niedawno raport, w którym twierdzą, że Gallium, jak wiadomo, używa złośliwego oprogramowania (otwiera się w nowej karcie) o nazwie Ping Pull .

PingPull to „trudny do wykrycia” backdoor, który komunikuje się z serwerem dowodzenia i kontroli (C2) za pośrednictwem niezbyt popularnego protokołu ICMP (Internet Control Message Protocol). Opiera się na C++ i umożliwia hakerom wykonywanie dowolnych poleceń na zaatakowanym punkcie końcowym (otwiera się w nowej karcie).

„Próbki PingPull, które wykorzystują ICMP do komunikacji C2, wysyłają pakiety ICMP echo request (ping) do serwera C2” — czytamy w raporcie. „Serwer C2 odpowie na te żądania echa pakietem odpowiedzi echa, aby wysłać polecenia do systemu”.

telekomunikacja docelowa

Unit 42 znalazł również wersje PingPull, które komunikują się przez HTTPS i TCP, a także ponad 170 adresów IP (otwiera się w nowej karcie), które mogą być powiązane z galem.

Według publikacji, sponsorowany przez państwo cyberprzestępca został po raz pierwszy zauważony dziesięć lat temu, po czym został powiązany z atakami na pięć głównych firm telekomunikacyjnych w Azji Południowo-Wschodniej. Zaobserwowano również, że gal atakuje firmy w Europie i Afryce. Cybereason nazywa go również Soft Cell.

Jury nadal nie wyjaśnia, w jaki sposób grupie udało się skompromitować sieci docelowe, a media spekulują, że nie odbiega ona zbytnio od swojej zwykłej metodologii wykorzystywania aplikacji znajdujących się w Internecie. Następnie użyje tych aplikacji do rozmieszczenia wirusów (otwiera się w nowej karcie) lub powłoki internetowej China Chopper.

„Gal pozostaje aktywnym zagrożeniem dla telekomunikacji, finansów i organizacji rządowych w Azji Południowo-Wschodniej, Europie i Afryce” – dodali naukowcy. „Chociaż użycie tuneli ICMP nie jest nową techniką, PingPull używa ICMP, aby utrudnić wykrycie komunikacji C2, ponieważ niewiele organizacji wdraża inspekcję ruchu ICMP w swoich sieciach”.

Przez: Hacker News (Otwiera się w nowej karcie)

Udostępnij to