Chinese cyberspionnen verdienen bijkomend geld door videogames te hacken

Categorie: computergebruik Geplaatst 7 aug Hoofdkwartier van China Hoofdkwartier van China





Alleen omdat je een Chinese overheidshacker van wereldklasse bent die bezig is met spionage tegen geopolitieke tegenstanders, wil dat nog niet zeggen dat je niet wat extra geld kunt verdienen.

Volgens het Amerikaanse beveiligingsbedrijf FireEye gebruiken de hackers achter een geavanceerde zeven jaar durende Chinese inlichtingenoperatie van de Chinese overheid tegelijkertijd hun talenten om voor persoonlijk gewin te hacken door doelen in de cryptocurrency- en videogame-industrie in de roos te plaatsen. De groep, genaamd APT41, toont een zeldzame combinatie van activiteiten voor een land als China, waar de werelden van spionage en cybercriminaliteit typisch volledig verschillend zijn.

De banden van APT41 met zowel ondergrondse marktplaatsen als door de staat gesponsorde activiteiten kunnen erop wijzen dat de groep bescherming geniet die het haar in staat stelt om haar eigen winstgevende activiteiten uit te voeren, of autoriteiten zijn bereid deze over het hoofd te zien, schreven de onderzoekers in een rapport dat woensdag werd vrijgegeven. Het is ook mogelijk dat APT41 eenvoudigweg de controle van de Chinese autoriteiten heeft ontweken. Hoe dan ook, deze operaties onderstrepen een vage lijn tussen staatsmacht en misdaad die de kern vormt van bedreigingsecosystemen en wordt geïllustreerd door APT41.



De dagtaak: De hackgroep begon zijn leven minstens zo ver terug als 2012 zoals veel andere Chinese door de staat gesponsorde hackers: het stelen van intellectueel eigendom van de medische-apparatuur- en farmaceutische industrie.

In 2015, nadat de Chinese president Xi Jinping en de Amerikaanse president Barack Obama tot een overeenkomst tegen diefstal van intellectuele eigendom, is de targeting van APT41 gewijzigd. Onlangs haalde de groep de krantenkoppen met spraakmakende toeleveringsketencompromissen bij bedrijven als het Taiwanese technologiebedrijf Asus.

De campagnes beginnen wanneer de hackers inbreken bij deze softwarebedrijven, malware injecteren in anderszins legitieme bestanden en vervolgens updates op grote schaal verspreiden. De tactiek infecteert tienduizenden machines, maar de hackers gebruiken het uiteindelijk om zich op een kleinere groep individuen te richten op basis van individuele systeem-ID's met behulp van de gecompromitteerde software.



De groep, ook wel bekend als Barium en Winnti , is goed bekend bij cyberbeveiligingsverdedigers over de hele wereld. Het gebruikt een breed scala aan technieken om voet aan de grond te krijgen in het systeem van een doelwit, waaronder goed gemaakte spearphishing, het gebruik van gestolen inloggegevens, TeamViewer remote desktop sharing-software en de China Chopper-webshell, meldde FireEye. Eenmaal binnen is bekend dat APT41 tientallen families van malware gebruikt voor meerdere gelijktijdige operaties, waaronder een campagne van een jaar waarin bijna 150 unieke stukjes malware zijn gebruikt, waaronder backdoors, credential stealers, keyloggers en rootkits, zei FireEye.

Met al zijn tools, mogelijkheden en bewezen staat van dienst is de APT41 een soort Zwitsers zakmes voor Chinese tactici. De groep heeft zich net voor de komst van Chinese functionarissen gericht op de oproeprecords van telecommunicatiebedrijven, nieuwsmedia en zelfs het reserveringssysteem van een hotel. Na de overeenkomst van 2015 veranderde zijn taak drastisch van door de overheid gesanctioneerde diefstal naar taken zoals het toezicht houden op iedereen die van belang is voor Peking.

De bijbaan: Terwijl de groep deze geopolitieke campagnes voert, gebruikt ze veel van dezelfde tactieken om doelen te hacken voor financieel gewin.



Er is gezien dat APT41 de toeleveringsketens van videogamebedrijven in gevaar brengt. Met toegang tot de productieomgeving van een game genereerde de groep tientallen miljoenen dollars in de virtuele valuta van de game, die vervolgens waarschijnlijk op ondergrondse markten werd verkocht.

Het heeft ook meer klassieke cybercriminaliteitstactieken gebruikt, waaronder een ransomware-aanval en afpersingspoging tegen een gamebedrijf toen de virtuele valuta van de game niet waardevol genoeg was om inkomsten te genereren.

APT41 is herhaaldelijk teruggekeerd naar de videogame-industrie, aldus de onderzoekers, en we denken dat deze activiteiten bepalend waren voor de latere spionageoperaties van de groep.



Ondanks de aanzienlijke overlap, is er een duidelijke scheidslijn tussen de spionage van de groep en het werk met winstoogmerk: meer geavanceerde tactieken en malware zijn meestal gereserveerd voor de grote doelen die door Peking zijn uitgekozen.