Hidden Lynx - profesionalni hakeri za iznajmljivanje

Vesti, 20.09.2013, 10:37 AM

Izveštaj koji je nedavno objavila kompanija Symantec otkriva da je za brojne napade na kompanije, vojne i vladine organizacije širom sveta odgovorna grupa koju čini između 50 i 100 profesionalnih hakera koji deluju iz Kine od 2009. godine.

Veruje se da je grupa nazvana Hidden Lynx povezana i sa špijunskom operacijom Aurora iz 2010. čije su mete bile velike kompanije, a koja je ostala upamćena po napadima na Google i Microsoft.

Nešto skorije delovanje uključuje i napad na kompaniju Bit9, koja se bavi kompjuterskom bezbednošću i zaštitom kompanija i državnih organizacija, kao i brojne takozvane “watering hole” ciljane napade na stotine kompanija i organizacija u SAD.

Hidden Lynx je aktivna od 2009. a možda i ranije, a reč je o profesionalnoj organizaciji koja funkcioniše kao servis za iznajmljivanje hakera. Duga istorija aktivnosti grupe pokazuje da je Hidden Lynx sposobna da napadne istovremeno dobro branjene sisteme mnogih organizacija i kompanija.

Hidden Lynx ima pristup arsenalu sofisticiranih zlonamernih alata koji koriste 0-day ranjivosti u softveru. Jedan od alata je i Trojanac Naid kojeg grupa koristi u napadima na značajne mete kao što su one koje je napala u toku operacije Aurora. Drugi alat je Backdoor Moudoor koji se koristi u hakerskim kampanjama koje imaju ne tako sofisticirane ciljeve.

Grupa deluje sa dva odvojena tima u svom sastavu koji su nazvani po malverima koje koriste u svojim napadima. Tim A nazvan Naid, je onaj koji je odgovoran za napad na Bit9 i najverovatnije za napad na Google 2009. godine. Ovaj tim se po svemu sudeći isključivo bavi “veoma vrednim” metama.

Tim B, nazvan Moudoor, je najverovatnije veći od prvog tima, i on koristi prilagođenu verziju alata Gh0st RAT, Trojanca Moudoor ali i druge slične alate za upad u sisteme velikog broja kompanija i krađu intelektualne svojine.

Prvi tim koji je zadužen za specijalne operacije čine hakeri koji raspolažu impresivnim znanjem i veštinama a osim toga, izgleda da oni imaju i pristup informacijama o “svežim” 0-day ranjivostima. Osim što koristi 0-day exploit-e, grupa je u stanju i da ih veoma brzo prerađuje i prilagođava. Njihov pristup je sistematski i veoma promišljen a veštine koje pokazuju u napadima su daleko ispred onih koje imaju druge hakerske grupe u regionu kao što je poznata grupa Comment Crew.

Zanimljiv je i način na koji ova hakerska grupa rešava problem u situacijama kada ne može da upadne u sisteme odabrane mete. Tada hakeri traže alternativne načine i to najčešće znači da će napasti dobavljače i partnerske kompanije odabrane mete i zaobilaznim putem doći do cilja. Tako je bilo i u slučaju napada na Bit9, kada je grupa pristupila infrastrukturi za digitalne sertifikate kompanije i to iskoristila za digitalni potpis 32 Trojanca i malicioznih skripti, koje je potom koristila za infiltraciju u kompanije kojima Bit9 pruža usluge zaštite.

Veći deo infrastrukture ove hakerske grupe nalazi se u Kini, ali nema dokaza da grupu sponzoriše kineska država. Šta više, neke od žrtava koje je napala grupa nalaze se u samoj Kini. Ipak, većina napadnutih kompanija i organizacija su one u SAD i Tajvanu, a 13% njih je u Hong Kongu i Kini.

Širok raspon informacija koje su krajnji cilj napada grupe pokazuje da je reč o profesionalnoj organizaciji koja je angažovana na zadacima krađe veoma specifičnih informacija koje se mogu iskoristiti za sticanje prednosti nad konkurencijom kako na nivou korporacija tako i na nivou država. Malo je verovatno da grupa sama koristi informacije koje ukrade. Pre će biti da je reč o hakerima koje iznajmljuju oni koji su voljni da plate da bi došli do informacija koje ovi vešti i iskusni hakeri mogu da ukradu.

Grupu stalno usavršava svoje tehnike kako bi bila korak ispred konkurencije. U Symantec-u predviđaju da će se Hidden Lynx pojavljivati kao akter visokoprofilnih kampanja i u godinama koje dolaze.

Više o svemu ovome možete naći u dokumentu (PDF) koji je objavio Symantec.