Door de staat gesponsorde hackers die de videogamebranche aanvallen naast cyberspionage Ontdek webbeveiligingsonderzoekers
Naast het uitvoeren van cyberspionage lijken fracties van grote en door de staat gesponsorde hackinggroepen betrokken te zijn bij het uitvoeren van financieel gemotiveerde cyberaanvallen. Deze cybercriminaliteit lijkt gericht op nogal wat specifieke segmenten, maar het meest getroffen is de steeds groter wordende online videogame-industrie. Individuen maken naar verluidt deel uit van een grotere groep van productieve, door de staat gesponsorde Chinese cyberspionageoperaties die de toolset en skillset zouden kunnen inzetten om onderweg wat winst te maken, ontdekten onderzoekers. De daden van cybercriminaliteit met geldelijk gewin als het primaire doel nemen gestaag toe naarmate gamers steeds meer gamen naar de cloud en externe servers.
Onderzoekers van FireEye hebben een uitgebreid rapport opgesteld over APT41, een productieve Chinese cyberdreigingsgroep die door de staat gesponsorde spionageactiviteiten uitvoert. Er wordt sterk aangenomen dat de groep wordt gesponsord of gesteund door de Chinese overheid. Onderzoekers beweren dat de APT41-groep aanhoudende aanvallen heeft uitgevoerd op bedrijven die handelsgeheimen bevatten. Naast cyberspionagemissies voeren de leden van de groep echter ook financieel gemotiveerde operaties uit. De onderzoekers merkten op dat sommige leden malware gebruikten die over het algemeen gereserveerd was voor spionagecampagnes.
Chinese cyberspionagegroep APT41 voert ook financieel gemotiveerde cyberaanvallen uit:
Door de staat gesponsorde hackersgroepen of aanhoudende dreigingsactoren zijn niet vaak betrokken bij het uitvoeren van financieel voordelige operaties. Deze groepen maken gebruik van zeer effectieve “Zero Day Exploits” om malware te leveren of meerdere payloads te downloaden naar de beveiligde servers van internationale bedrijven. Deze exploits zijn meestal vrij duur op het Dark Web, maar hackers kopen deze zelden van exploitmakelaars om digitale valuta te stelen.
De APT41-groep lijkt zich echter naast cyberspionage te hebben overgegeven aan digitale diefstal. De digitale overvallen lijken puur voor persoonlijk gewin te worden uitgevoerd. De leden lijken echter malware en andere schadelijke software te gebruiken die niet bedoeld is om algemene internetgebruikers te targeten. Simpel gezegd, de hackers gebruiken niet-openbare malware die doorgaans is gereserveerd voor spionagecampagnes. Het uitgebreide rapport van FireEye behandelt “historische en voortdurende activiteiten toegeschreven aan APT41, de evolutie van de tactieken, technieken en procedures (TTP's) van de groep, informatie over de individuele actoren, een overzicht van hun malware-toolset en hoe deze identificatoren overlappen met andere bekende Chinese spionage-exploitanten. "
Traditioneel hebben hackers die digitale kluizen achterna zitten om geld te stelen, zich gericht op ongeveer 15 grote industriesegmenten. De meest lucratieve hiervan zijn digitale gezondheidszorg, patenten en andere hightech, telecommunicatie en zelfs hoger onderwijs. De exploderende online videogame-industrie is nu echter ook een aantrekkelijk doelwit. Het rapport geeft zelfs aan dat de leden van de APT41-groep zich na 2014 mogelijk zijn gaan richten op de game-industrie. De primaire missie van de groep blijft echter cyberspionage. Ze helpen China blijkbaar zijn ‘Made in China 2025’-missie te versnellen. Met andere woorden, nogal wat van de hardnekkige dreigingsgroepen die uit China lijken te komen, werken over het algemeen aan China's vijfjarige economische ontwikkelingsplannen. Simpel gezegd, ze lijken de ambities van het land te ondersteunen. Chine heeft duidelijk gemaakt dat het land wil dat zijn sterk geïndustrialiseerde nationale beroepsbevolking en bedrijven hoogwaardige producten en diensten gaan produceren.
Hoe valt de APT41-groep de online videogamesector aan?
De APT41-groep lijkt vooral geïnteresseerd in bedrijven in het hoger onderwijs, reisdiensten en nieuws/media. De groep lijkt ook spraakmakende personen te volgen en pogingen om toegang te krijgen tot hun communicatienetwerk. In het verleden probeerde de groep ongeoorloofde toegang te krijgen tot de reserveringssystemen van een hotel in een kennelijke poging om de faciliteit te beveiligen.
Naast de eerder genoemde door de staat gesponsorde activiteiten, gaan sommige leden van de APT41-groep de videogame-industrie na voor persoonlijk financieel gewin. De hackers zijn op zoek naar virtuele valuta, en na het observeren van andere vergelijkbare groepen, heeft de APT41 ook een poging gedaan ransomware inzetten.
Verrassend genoeg probeert de groep toegang te krijgen tot productieomgevingen van backend-games. De groep steelt vervolgens zowel de broncode als digitale certificaten die vervolgens worden gebruikt om malware te ondertekenen. Het is bekend dat APT41 zijn toegang tot productieomgevingen gebruikt om kwaadaardige code in legitieme bestanden te injecteren. Nietsvermoedende slachtoffers, waaronder andere organisaties, downloaden deze besmette bestanden vervolgens via schijnbaar legitieme kanalen. Omdat de bestanden en certificaten zijn ondertekend, zijn de toepassingen met succes geïnstalleerd.
Wat nog zorgwekkender is, is het feit dat de groep naar verluidt onopgemerkt kan bewegen binnen gerichte netwerken, inclusief het draaien tussen Windows- en Linux-systemen. Bovendien beperkt APT41 de inzet van follow-on malware tot specifieke slachtoffersystemen door afstemming op individuele systeem-ID's. Simpel gezegd, de groep gaat achter geselecteerde gebruikers aan, mogelijk met een grote hoeveelheid digitale valuta. Aangenomen wordt dat APT41 46 verschillende soorten malware heeft, waaronder achterdeurtjes, diefstal van inloggegevens, keyloggers en meerdere rootkits.