Operation Wocao: China's verborgen hacking groepen

Gepubliceerd op 22 december 2019 om 15:56
Operation Wocao: China's verborgen hacking groepen

Operation Wocao (我 操, “Wǒ Cao”, wordt gebruikt als “shit” of “damn”) is de naam die Fox-IT gebruikt voor de hackers van de Chinese hacking groepen.

Beveiligingsbedrijf Fox-IT ontdekte de hackers nadat ze in een vooraf opgezette val liepen. Op basis van onder meer het gedrag van de hackers en de informatie die ze zochten, kan worden geconcludeerd dat ze voor de Chinese staat actief zouden zijn.

'Hackers konden al op de computer'

Welke bedrijven en overheden slachtoffer zijn geworden wil Frank Groenewegen, security-expert bij Fox-IT niet zeggen. Groenewegen zegt dat de hacker gebruik maakten van een kwetsbaarheid in de software voor twee-factor-authenticatie. 'Normaal kennen we het sms'je dat je krijgt, of een hardwaretoken waarop codes worden gegenereerd. Maar als je die codes genereert met software op een computer waar hackers al op kunnen, dan kunnen ze ook bij de codes.'

Operation Wocao

Het rapport beschrijft het profiel van Chinese staatshackers die afgelopen jaren wereldwijd binnengedrongen in de computersystemen van tientallen bedrijven en overheidsinstellingen. Nederlandse bedrijven zijn voor zover bekend buiten schot gebleven, behalve Nederlandse vestigingen van buitenlandse ondernemingen. We zijn het slachtoffer geworden van deze cybercriminelen die in meer dan 10 landen opereerden, zo drongen ze overheidsinstellingen, industrieën, energie bedrijven en gezondheidszorg binnen.

Afgezien van de technische details, moet dit rapport dienen om ons eraan te herinneren hoe geavanceerd cybercriminelen te werk gaan om hun beoogde doel te bereiken. Dit blijkt uit de volgende bevindingen:

  • Zo voerden ze hun  cyberaanvallen grootste deels  uit doormiddel van toegang te verkrijgen op basis van  “legitieme” kanalen. VPN toegang is een voorbeeld van een dergelijk kanaal, en we hebben zelfs gezien dat deze cybercriminelen misbruik maakten van 2FA soft tokens.
  • Voor back-up  doeleinden, hebben ze aanvullende toegangsmethoden gecreëerd.
  • Ze infiltreerden via het netwerk, en selecteerden computers van medewerkers met extra netwerk bevoegdheden (beheerders/admins).. 
  • Op deze systemen, werden de digitale kluizen direct getarget en leeggehaald..
  • Op de binnengedrongen systemen hebben ze zoveel mogelijk activiteiten van deze diefstal verwijderd. Om zo te voorkomen dat er forensische sporen van hun activiteiten zouden achter blijven. Dit maakte het ook veel moeilijker voor de onderzoekers om te bepalen wat er precies is gebeurd.
  • Op basis van deze geavanceerde aanval, kunnen de aanvallers specifieker hun doel bereiken en zo makkelijker onzichtbaar te werk gaan om data en het systeem te saboteren met behoud van de toegang tot het systeem.
  • Zo bleven ze onzichtbaar op de radar bij de getroffen systemen.

Defensieve strategieën

Door deze inzichten van hacking herinneren zei ons dat we moeten blijven werken aan onze defensieve strategieën. Het is noodzakelijk om met regelmaat te herbeoordelen:

  • Zero Trust of Robuuste segmentatie moet een basis inrichting worden van de ICT infrastructuren, zowel voor systemen en identiteiten. Als onderdeel daarvan zal het gebruik van Microsoft's Enhanced Security Administrative Environment (ESAE) waar toepassing mogelijk is, uw veerkracht aanzienlijk vergroten en voorkomen dat aanvallen slagen.
  • Tijdige detectie van en adequate reactie op elk ernstig incident hangt af van een combinatie van een hoog en een laag niveau van telemetrie netwerk en eindpunten.
201912 Report Operation Wocao
PDF – 2,7 MB 725 downloads

Bron: fox-it, bnr