Nieuwe groep cybercriminelen BRONZE PRESIDENT rich zich op ngo’s

Secu­re­works heeft cyber­spi­o­nage-acti­vi­teiten onthuld van een waar­schijn­lijk Chinese groep cyber­cri­mi­nelen – genaamd BRONZE PRESIDENT – die zijn pijlen heeft gericht op ngo’s. Onder­zoe­kers van de Counter Threat Unit (CTU) van Secu­re­works hebben sinds medio 2018 de acti­vi­teiten van BRONZE PRESIDENT geob­ser­veerd. Zij hebben echter aanwij­zingen waaruit blijkt dat de cyber­cri­mi­nelen mogelijk al sinds 2014 diverse netwerken zijn binnengedrongen.

Belangrijkste punten

• BRONZE PRESIDENT richt zich op ngo’s en op de politiek en wets­hand­ha­ving in Zuid- en Oost-Azië.
• De cyber­cri­mi­nelen lijken hun eigen Remote Access Tools te hebben ontwik­keld. Hiermee kunnen zij hun aanvallen op afstand uitvoeren. Deze worden gebruikt naast publiek beschik­bare Remote Access Tools en Post-Compro­mise Tools. Dit zijn hulp­mid­delen die een aanvaller inzet nadat hij een orga­ni­satie is binnengedrongen.
• Na het netwerk van een orga­ni­satie te zijn binnen­ge­drongen, verhogen de cyber­cri­mi­nelen hun privi­leges en instal­leren ze malware op een groot deel van de systemen. De groep maakt gebruik van aange­paste scripts om speci­fieke bestands­types te verza­melen en neemt proac­tieve stappen om de detectie van zijn acti­vi­teiten tot een minimum te beperken.

Lange periode

CTU-onder­zoe­kers hebben ontdekt dat BRONZE PRESIDENT zich richt op meerdere ngo’s. De crimi­nelen stelen gedurende een lange periode gegevens van getroffen systemen. Dit duidt er waar­schijn­lijk op dat het netwerk van het doelwit over lange termijn moet worden gemo­ni­tord. Daarnaast hebben CTU-onder­zoe­kers waar­ge­nomen dat BRONZE PRESIDENT zich richt op de politiek en wets­hand­ha­ving. Deze bevinden zich in landen die grenzen aan de Volks­re­pu­bliek China, waaronder Mongolië en India. Sommige phishing-berichten wijzen erop dat de groep belang­stel­ling heeft voor nationale bevei­li­ging, huma­ni­taire hulp en wets­hand­ha­vers in het oosten, zuiden en zuid­oosten van Azië. Dit toont aan dat BRONZE PRESIDENT, naast het aanvallen van ngo’s, waar­schijn­lijk ook van plan is om andere landen te bespioneren.

Hoewel door China gesteunde cyber­cri­mi­nelen wel vaker buur­landen bespi­o­neren, heeft de groep op zorg­wek­kende wijze aange­toond dat ze in staat is om haar eigen malware op te bouwen en te ontwik­kelen. Dit blijkt uit het gebruik van tools die door geen enkele andere groep cyber­cri­mi­nelen worden toegepast.

BRONZE PRESIDENT maakt ook gebruik van algemeen beschik­bare of aange­paste open source-tools. Dit kan een stra­te­gi­sche zet zijn om het risico van detectie te vermin­deren of om de behoefte aan middelen voor het ontwik­kelen van eigen tools tot een minimum te beperken. Na een aanval op een netwerk verwij­deren cyber­cri­mi­nelen doorgaans hun tools en processen. De groep laat echter bepaalde malware achter op het netwerk, voor het geval dat andere toegangs­ka­nalen worden verwij­derd. Toen de acti­vi­teiten van de groep bij een bepaald incident werden gede­tec­teerd, had de groep meer rechten en hield ze gedurende enkele maanden toegang tot het doelwit. Deze ontdek­king toont aan dat de groep op een effec­tieve manier de toegang tot een netwerk langdurig in stand houdt.