Threat Hunters bij Symantec vragen wereldwijde aandacht voor een nieuw, zeer geavanceerd stuk malware dat door een Chinese bedreigingsacteur wordt gebruikt om zich in te graven in - en gegevens te kapen van - doelen van de overheid en kritieke infrastructuur.
De malware, genaamd Daxin, bevat "technische complexiteit die voorheen niet werd gezien door dergelijke actoren" en SecurityWeek-bronnen bevestigen dat dit het handwerk is van een Chinese dreigingsactor eerst gedocumenteerd door Microsoft in december 2012.
“De meeste doelwitten lijken organisaties en regeringen te zijn die van strategisch belang zijn voor China. Bovendien werden andere tools gevonden die verband houden met Chinese spionageacteurs op enkele van dezelfde computers waarop Daxin was ingezet,” aldus openbare documentatie van het Threat Hunter-team van Symantec.
"Daxin is zonder twijfel het meest geavanceerde stukje malware dat Symantec-onderzoekers hebben zien gebruiken door een aan China gelinkte acteur", verklaarde het team, en waarschuwde het dat Daxin geoptimaliseerd lijkt te zijn voor gebruik tegen geharde doelen, waardoor de aanvallers diep in een geïnfecteerde netwerk om gegevens te exfiltreren zonder argwaan te wekken.
[ LEES: 'Regin' aanvalsplatform gericht op GSM-netwerken ]
Symantec heeft indicatoren voor compromissen (IOC's) en technische details vrijgegeven, samen met documentatie over hoe de Daxin-malware geavanceerde communicatiefunctionaliteit implementeert voor "een hoge mate van stealth" en zelfs verbindingen om opdrachten te verzenden en ontvangen op sterk beveiligde netwerken waar geen directe internetverbinding beschikbaar is.
De onderzoekers zeiden dat deze geavanceerde command-and-control-functies zijn: doet denken aan Regin, een geavanceerd spionage-instrument dat publiekelijk wordt toegeschreven aan westerse inlichtingendiensten.
De geavanceerde functies van de Daxin-malware suggereren dat de aanvallers aanzienlijke inspanningen hebben geleverd om communicatietechnieken te ontwikkelen die ongezien kunnen worden gecombineerd met normaal netwerkverkeer op het netwerk van het doelwit.
De speurders van Symantec ontdekten met name dat de malware het vermogen heeft om alle legitieme services die al op de geïnfecteerde computers draaien, te misbruiken, wat betekent dat het kan voorkomen dat het zijn eigen netwerkservices start.
“Daxin is ook in staat om zijn communicatie door te sturen via een netwerk van geïnfecteerde computers binnen de aangevallen organisatie. De aanvallers kunnen een willekeurig pad tussen geïnfecteerde computers selecteren en een enkele opdracht sturen die deze computers instrueert om de gevraagde connectiviteit tot stand te brengen”, leggen de onderzoekers uit.
[ LEES: Rob Joyce Details 'Sand and Friction'-beveiligingsstrategie ]
Ze ontdekten dat de malware ook netwerktunneling gebruikte om aanvallers te laten communiceren met legitieme services op het netwerk van het slachtoffer die vanaf elke geïnfecteerde computer kunnen worden bereikt.
"Hoewel de reeks operaties die door Daxin wordt herkend, vrij smal is, ligt de echte waarde voor aanvallers in de stealth- en communicatiemogelijkheden", merkte Symanted op en waarschuwde dat de malware kan communiceren door legitieme TCP/IP-verbindingen te kapen.
“Daxins gebruik van gekaapte TCP-verbindingen zorgt voor een hoge mate van stealth in zijn communicatie en helpt bij het tot stand brengen van connectiviteit op netwerken met strikte firewallregels. Het kan ook het risico op ontdekking door SOC-analisten verminderen die op netwerkafwijkingen letten”, waarschuwde het bedrijf.
Symantec zei dat het Daxin-infecties heeft gevonden bij overheidsorganisaties en entiteiten in de telecommunicatie-, transport- en productiesectoren.
Het onderzoeksteam van het bedrijf vond meerdere technische links om Daxin met vertrouwen toe te schrijven aan bekende Chinese spionageacteurs.
Zie ook: 'Regin' aanvalsplatform gericht op GSM-netwerken
Zie ook: Onderzoekers detailleren Regin Attack Platform-modules
Zie ook: Symantec onthult stealthy cyberaanvalplatform in nationale staten
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
