LAS VEGAS – En grupp kinesiska hackare känd som APT41 verkar ha begått ekonomiska brott utöver statligt sponsrade cyberspionage, sade FireEye-forskare i Black Hat.
“APT41 är unik bland kinesiska baserade aktörer som spårar användningen av icke-offentlig skadlig programvara som vanligtvis är reserverad för spionage-kampanjer i aktiviteter som verkar vara för personlig vinst,” säger Sandra Joyce, SVP Global Threat Intelligence på FireEye, i ett uttalande.
Denna typ av beteende “är ovanligt bland kinesiska sponsrade grupper”, enligt FireEye.
APT41s verksamhet började 2012, då han attackerade mål inom videospelbranschen. Denna grupp utökade räckvidden under de senaste sju åren och omfattade så småningom allt från hälso- och telekommunikationstjänster till teknikföretag och film- och medieföretag. Denna åtgärd, sade FireEye, var avsedd att främja målen för den kinesiska regeringen. I ett specifikt exempel som företaget citerar gick gruppen till ett hotell där kinesiska tjänstemän bor, kanske som en del av en slags övervakningsinsats.
APT41 “är mycket smidig och ihållande och svarar snabbt på förändringar i offrets miljö och respondentens händelsesaktivitet,” sade FireEye. Det är ett bra sätt att säga att APT41 rullar med en stans och kan komma tillbaka till systemet även efter att de goda killarna har rengjort det. I ett exempel sprider denna grupp mer än 150 bitar unik skadlig programvara i en årslång kampanj mot ett mål.
Men det som gör APT41 unik är den påstådda ansträngningen för att berika sig själv. FireEye identifierar två forumanvändare som handlar med namnen “Zhang Xuguang” och “Wolfzhi” som annonserar sina hackingfärdigheter. Dessa kontots driftstimmar matchar de timmar då APT41 aktivt attackerar videospelsmål, vilket antyder att APT41 tar jobbet bredvid eller – enligt FireEyes ord – “månsken.”
För att få inkomst, “APT41 har manipulerat virtuella valutor och till och med försökt sprida ransomware,” skrev FireEye. APT41 misstänks för att ha riktat sig till utvecklare, brutit in i sina nätverk och stulit digitala certifikat för att skriva under skadliga koder. Korrekt signerad accepteras denna skadlig kod som legitim, vilket gör att den kan distribueras till målet. FireEye beskrev detta som en “försörjningskedja” -attack och sa att det var ett kännetecken för APT41-operationer.
APT41 har haft mycket framgång, men det bästa tricket verkar vara att jaga vinster. “Länken APT41 till den underjordiska marknaden och statligt sponsrade aktiviteter kan indikera att gruppen åtnjuter skydd som gör att den kan bedriva sin egen ideella verksamhet, eller att myndigheterna är villiga att ignorera den,” skrev FireEye. “Det är också möjligt att APT41 lätt har undvikit övervakning från kinesiska myndigheter.”
Om det är det senare kan FireEye bara ha orsakat många APT41-problem.
