KÍNAI KIBERKÉMEK A LÉGIKÖZLEKEDÉSBEN ÉS AZ EGÉSZSÉGÜGYBEN

Az év elején nagyszabású kibertámadás áldozatává vált Amerika második legnagyobb egészségbiztosítási szolgáltatója, amelynek során 80 millió ügyfél adatai kerültek illetéktelen kezekbe. A Symantec szakértői szerint a támadást egy komoly forrásokkal rendelkező kiberkémkedéssel foglalkozó csoport, a Black Vine követte el. A Symantec elemzése azt mutatja, hogy a feltehetően kínai háttérrel rendelkező Black Vine csoport már közel három éve támad egészségügyi, űripari és légi közlekedéssel foglalkozó vállalatokat világszerte.

Az év elején nagyszabású kibertámadás áldozatává vált Amerika második legnagyobb egészségbiztosítási szolgáltatója, amelynek során 80 millió ügyfél adatai kerültek illetéktelen kezekbe. A Symantec szakértői szerint a támadást egy komoly forrásokkal rendelkező kiberkémkedéssel foglalkozó csoport, a Black Vine követte el. A Symantec elemzése azt mutatja, hogy a feltehetően kínai háttérrel rendelkező Black Vine csoport már közel három éve támad egészségügyi, űripari és légi közlekedéssel foglalkozó vállalatokat világszerte.

A csoport leginkább zero-day típusú támadásokat alkalmaz a Symantec által azonosított – és más csoportok által is használt – Elderwood rendszeren keresztül. A Black Vine olyan legitim weboldalakat fertőz meg támadásai során, amelyek érdekesek lehetnek a célszemélyek számára, illetve watering-hole támadások keretében technológiai témájú adathalász e-mailek segítségével próbálják a feltört weboldalakra irányítani a felhasználókat. A sikeres támadások esetében a Black Vine egyedileg fejlesztett rosszindulatú programjai távoli hozzáférést biztosítanak a felhasználó számítógépéhez. A Hurix és a Sakurel (mindkettő Trojan.Sakurel néven ismerhető fel), valamint a Mivast (Backdoor.Mivast néven ismerhető fel) kártevők egy hátsó ajtó (backdoor) nyitásával segítik az értékes adatok ellopását az áldozatok számítógépeiről. A programok ezen kívül fájlok létrehozását és parancsok végrehajtását, illetve a regisztrációs kulcsok törlését, módosítását és létrehozását is lehetővé teszik.

Az IP-címek elemzése során a Symantec szakemberei számos országban azonosították a Black Vine csoport áldozatait. Ezek közül kiemelkedik az Egyesült Államok, amelyet Kína, Kanada és India követ. A csoport európai vállalatok ellen is intézett támadásokat, leginkább Olaszországban és Dániában.

A Black Vine által leginkább támadott iparágak:

• Repülés
• Egészségügy
• Energiaipar (főként gáz és villamos turbinagyártók)
• Katonai és védelmi ipar
• Pénzügy
• Mezőgazdaság
• Technológia

A Black Vine egy félelmetes, komoly forrásokkal rendelkező csoport, amely minden szükséges felszereléssel rendelkezik a kibertámadások, ipari kémkedések sikeres végrehajtásához. Egy blogbejegyzés szerint az amerikai egészségbiztosító elleni támadáshoz használt infrastruktúra nagy valószínűséggel kínai eredetű. A támadások és a szabadon hozzáférhető adatok elemzése során a Symantec szakemberei kapcsolatot találtak a Black Vine és egy pekingi IT biztonsági szervezet, a Topsec között. A gyanút erősíti, hogy a csoport más kiberkémkedéssel összefüggésbe hozható szereplővel is kapcsolatban áll, erős anyagi háttérrel rendelkezik, jól szervezett, és legalább néhány tagjának volt vagy jelenleg is van valamilyen kapcsolata a Topsec szervezettel.