Hackerne går efter forsyningstjenester i hele verden

Operation Dust Storm er navnet på en meget stor kampagne mod forsyningstjenester og industrier i lande som Japan, Sydkorea og USA, men også Europa og andre sydøstlige asiatiske er blevet ramt

Cylance Spear

Det er it-sikkerhedsfirmaet Cylance der med deres SPEAR-tjeneste har opdaget gruppen der længe har udgjort en trussel mod mange større virksomheder og forsyningstjenester i store dele af verden.

Indtil videre har gruppen kompromitteret en bred vifte af ofre blandt andet indenfor elektricitetsværker, olie og naturgas, finansielle virksomheder, transport og byggevirksomheder.

Operation Dust Storm har mindst eksisteret siden først i 2010, og har brugt en del forskellige operationelle teknikker, herunder spear phishing, waterholes og zero-day exploits.

Data fra 2015 indikerer at gruppen er gået fra angreb mod de mere traditionelle regerings- og forsvarsrelaterede organisationer, til også at angribe andre organisationer der er involverede i Japans kritiske infrastruktur og ressourcer.

Men selvom Operation Dust Storm har haft en forkærlighed for japanske mål, så har de dog også haft et godt øje mod resten af verden. Det lader dog imidlertid til at have ændret sig markant. Cylance SPEARs forskning peger mod, at Operation Dust Storm umiddelbare fokus har ændret sig til specifikt og udelukkende at rette sig mod Japanske virksomheder, eller Japanske underafdelinger af større udenlandske organisationer.

Cylance SPEAR fortæller, at selvom offentliggørelse af kendskab til denne slags grupper ofte betyder at de cyberkriminelle vil skifte angrebsmetoder, så er truslen så stor, at det er nødvendigt at gå offentligt ud og advare mod gruppens aktiviteter.

Cylance SPEAR har set angreb uden for Japan også, men det tyder meget på, at gruppens formål primært er at give Japan problemer. Hvorfor er der ingen der ved noget om, ligesom der endnu eller ikke er nogen der ved, hvem der står bag Operation Dust Storm.

cylance spear

Tidslinjen

2010: De første angreb var meget grove og alt andet end sofistikerede. Derfor blev de da også ret let opdaget af sikkerhedsvirksomhederne. Efterhånden som gruppen koncentrerede sig mere og mere om Japan, kom der mindre offentlig information ud om gruppen.

2011: I løbet af juni 2011 kom der en række angreb der benyttede sig af en upatchet Internet Explorer 8 sårbarhed, som gav gruppen en indgang til ofrenes netværk.

I oktober 2011 forsøgte Operation Dust Storm at udnytte krisen i Libyen, og brugte nyheder som Muammar Gaddafi’s død oktober 2011 til phishing angreb. Her var det blandt andet USA der blev angrebet. Denne gang brugte gruppen en specielt udviklet ondsindet Windows Help fil.

2012: Her identificerede Cylance SPEAR en ny kampagne i juni, og den brugte både en sårbarhed i Flash, og en Internet Explorer zero-dady sårbarhed.

2013: Operation Dust Storm holdt lav profil fra marts 2013 til august 2013. Den aktivitet der var, bestod i at registrere nye domæner, noget som ville blive en base for gruppens operationer de næste år.

2014: Allerede i februar 2014 var der beviser der antydede at Operation Dust Storm brugte et ’watering hole’ angreb på en populær softwareforhandler. Gruppen begyndte også at sprede sig til også at at finde og sikre sig alternative vedvarende angrebsmetoder til ofrenes systemer.

2015: Aktiviteten i 2015 bliver af Cylance SPEAR betegnet som væsentlig mere interessant, og det fik dem til at undersøge gruppens øvrige aktiviteter. SPEAR fandt et antal second-stage backdoors med proxy-adresserne hard-kodede. Disse proxy-adresser afslørede at angriberne havde kompromitteret en antal Japanske virksomheder, herunder forsyningsværker, finanssektoren og transportsektoren.

Endnu mere interessant var det, at angriberne havde adopteret, og tilpasset, flere Android backdoors så de passede til deres formål, og det allerede tilbage i maj 2015. I starten var disse backdoors dog ret simple og ville ’bare’ vidersende alle sms-beskeder og opkaldsinformation til C2-serverne.

Der var så to angreb mere, og de startede i juli 2015 hhv. oktober 2015. Her var det primære angreb rettet mod en Japansk underafdeling af et Sydkoreansk elektricitetsværk.

Men Cylance SPEAR fandt også et succesfuldt angreb mod en større olie- og gasvirksomhed i Japan.

Uden at motivet var klart, vurderer Cylance SPEAR dog, at det højst sandsynligt handlede om industriel spionage.

2016: Året er knapt begyndt, og angrebene ruller stadig mod japanske virksomheder. Cylance SPEAR tror at de vil blive optrappet i løbet af året, specielt mod kritisk japansk infrastruktur.

Hele rapporten kan læses her.

About Lars Bennetzen 3822 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?