RedAlpha.jpg

Forskere forbinder årelangt tyveri af legitimationsoplysninger til kinesiske hackere

En kinesisk statsstøttet hackergruppe ved navn RedAlpha er blevet tilskrevet et årelangt logintyveri rettet mod globale humanitære tænketanke og regeringsorganisationer.

“Med dette forsøgte RedAlpha sandsynligvis at få adgang til e-mail-konti og anden online kommunikation fra målrettede personer og organisationer”, afslører Recorded Future i en ny rapport.

En mindre kendt trusselsaktør, RedAlpha blev først dokumenteret af Citizen Lab i januar 2018 og har en historie med at udføre cyberspionage og overvågningsoperationer rettet mod det tibetanske samfund, nogle i Indien, for at lette indsamling af efterretninger gennem implementering af NjRAT-bagdøren.

Kampagnerne […] kombinerer let rekognoscering, selektive mål og forskellige ødelæggende værktøjer,” bemærker Recorded Future.

Siden da har gruppen udført ødelæggende angreb og aktiviteter udført af op til 350 domæner, der forfalsker legitime enheder som International Federation for Human Rights (FIDH), Amnesty International, Mercator Institute for China Studies (MERICS), Radio Free Asia (RFA) og American Institute i Taiwan (AIT), blandt andre.

Modstanderens konsekvente angreb mod tænketanke og humanitære organisationer i løbet af de sidste tre år falder i tråd med den kinesiske regerings strategiske interesser, tilføjer rapporten.

De efterlignede domæner, som også inkluderer legitime e-mail- og lagringstjenesteudbydere som Yahoo!, Google og Microsoft, bruges efterfølgende til at målrette nærmeste organisationer og enkeltpersoner for at lette tyveri af legitimationsoplysninger.

Angrebskæder starter med phishing-e-mails, der indeholder PDF-filer, der integrerer ødelæggende links for at omdirigere brugere til useriøse destinationssider, der afspejler e-mail-loginportalerne for de udsatte organisationer.

“Det betyder, at de var beregnet til at målrette personer, der er direkte tilknyttet disse organisationer i stedet for blot at efterligne disse organisationer for at målrette andre tredjeparter,” bemærker forskerne.

Alternativt er de domæner, der bruges i legitimations-phishing-aktiviteten, blevet fundet hosting generiske login-sider til populære e-mail-udbydere som Outlook sammen med at efterligne anden e-mail-software som Zimbra, der bruges af disse specifikke organisationer.

Som et yderligere tegn på kampagnens udvikling har gruppen også efterlignet de login-sider, der er forbundet med Taiwan, Portugal, Brasilien og Vietnams udenrigsministerier samt Indiens Nationale Informatikcenter (NIC), der administrerer it-infrastruktur og tjenester for den indiske regering.

RedAlpha-klyngen ser desuden ud til at være forbundet med et kinesisk informationssikkerhedsfirma kendt som Jiangsu Cimer Information Security Technology Co. Ltd. (tidligere Nanjing Qinglan Information Technology Co., Ltd.), hvilket understreger den fortsatte brug af private entreprenører af efterretningstjenester i landet.

“[Cyberangreb mod tænketanke, civilsamfundsorganisationer og taiwanske regering og politiske enheder] kombineret med identifikation af sandsynlige Kina-baserede operatører indikerer en sandsynlig kinesisk statsforbindelse til RedAlpha-aktivitet”, siger forskerne.

Kilde: TheHackerNews

Foto: Pexels

Cybersikkerhed & Nyheder