Secureworks heeft cyberspionage-activiteiten onthuld van een waarschijnlijk Chinese groep cybercriminelen – genaamd BRONZE PRESIDENT – die zijn pijlen heeft gericht op ngo’s. Onderzoekers van de Counter Threat Unit (CTU) van Secureworks hebben sinds medio 2018 de activiteiten van BRONZE PRESIDENT geobserveerd. Zij hebben echter aanwijzingen waaruit blijkt dat de cybercriminelen mogelijk al sinds 2014 diverse netwerken zijn binnengedrongen.
Belangrijkste punten
- BRONZE PRESIDENT richt zich op ngo’s en op de politiek en wetshandhaving in Zuid- en Oost-Azië.
- De cybercriminelen lijken hun eigen Remote Access Tools te hebben ontwikkeld. Hiermee kunnen zij hun aanvallen op afstand uitvoeren. Deze worden gebruikt naast publiek beschikbare Remote Access Tools en Post-Compromise Tools. Dit zijn hulpmiddelen die een aanvaller inzet nadat hij een organisatie is binnengedrongen.
- Na het netwerk van een organisatie te zijn binnengedrongen, verhogen de cybercriminelen hun privileges en installeren ze malware op een groot deel van de systemen. De groep maakt gebruik van aangepaste scripts om specifieke bestandstypes te verzamelen en neemt proactieve stappen om de detectie van zijn activiteiten tot een minimum te beperken.
Lange periode
CTU-onderzoekers hebben ontdekt dat BRONZE PRESIDENT zich richt op meerdere ngo’s. De criminelen stelen gedurende een lange periode gegevens van getroffen systemen. Dit duidt er waarschijnlijk op dat het netwerk van het doelwit over lange termijn moet worden gemonitord. Daarnaast hebben CTU-onderzoekers waargenomen dat BRONZE PRESIDENT zich richt op de politiek en wetshandhaving. Deze bevinden zich in landen die grenzen aan de Volksrepubliek China, waaronder Mongolië en India. Sommige phishing-berichten wijzen erop dat de groep belangstelling heeft voor nationale beveiliging, humanitaire hulp en wetshandhavers in het oosten, zuiden en zuidoosten van Azië. Dit toont aan dat BRONZE PRESIDENT, naast het aanvallen van ngo’s, waarschijnlijk ook van plan is om andere landen te bespioneren.
Hoewel door China gesteunde cybercriminelen wel vaker buurlanden bespioneren, heeft de groep op zorgwekkende wijze aangetoond dat ze in staat is om haar eigen malware op te bouwen en te ontwikkelen. Dit blijkt uit het gebruik van tools die door geen enkele andere groep cybercriminelen worden toegepast.
BRONZE PRESIDENT maakt ook gebruik van algemeen beschikbare of aangepaste open source-tools. Dit kan een strategische zet zijn om het risico van detectie te verminderen of om de behoefte aan middelen voor het ontwikkelen van eigen tools tot een minimum te beperken. Na een aanval op een netwerk verwijderen cybercriminelen doorgaans hun tools en processen. De groep laat echter bepaalde malware achter op het netwerk, voor het geval dat andere toegangskanalen worden verwijderd. Toen de activiteiten van de groep bij een bepaald incident werden gedetecteerd, had de groep meer rechten en hield ze gedurende enkele maanden toegang tot het doelwit. Deze ontdekking toont aan dat de groep op een effectieve manier de toegang tot een netwerk langdurig in stand houdt.