W ciągu ostatnich dwóch lat wirus Violin Panda atakował firmy na całym świecie.
24 Grudnia 2019
Cyberprzestępca APT20 (znany również jako iolin Panda i th3bug), rzekomo sponsorowany przez chiński rząd, w ciągu ostatnich dwóch lat niespostrzeżenie atakował firmy i agencje rządowe, kradnąc hasła i omijając uwierzytelnianie dwuskładnikowe w celu gromadzenia danych.
Według ekspertów z firmy zajmującej się bezpieczeństwem informacji Fox-IT, ataki grupy dotknęły firmy w 10 krajach, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech i we Włoszech. Cyberprzestępcy rozpoczęli globalną kampanię szpiegowską, którą eksperci nazwali Operacją Wocao, skierowaną do takich branż, jak lotnictwo, budownictwo, finanse, opieka zdrowotna, ubezpieczenia, hazard i energia.
Według ekspertów cyberprzestępcy należą do grupy APT20, która w latach 2009-2014 organizowała kampanie skierowane do uniwersytetów oraz firm wojskowych, medycznych i telekomunikacyjnych. Grupa pozostawała w cieniu przez kilka lat, ale teraz wznowiła działalność.
Przestępcy zwykle uzyskują dostęp do systemów organizacji poprzez wykorzystanie luk w zabezpieczeniach serwerów sieciowych zarządzanych przez firmę lub agencję rządową. Następnie przechodzą dalej przez sieć w poszukiwaniu administratorów systemu z uprzywilejowanym dostępem do najważniejszych części systemu komputerowego.
APT20 przesłał keyloggery do systemów komputerowych administratorów, aby rejestrować naciśnięcia klawiszy i kradzież hasła. Według ekspertów grupa była w stanie przynajmniej w jednym przypadku ominąć dwuskładnikowy system uwierzytelniania RSA SecurID poprzez skopiowanie swoich kodów.
Przestępcy skutecznie ukrywają swoje ślady, regularnie usuwając narzędzia do kradzieży danych z zainfekowanych komputerów. Podczas kampanii korzystali z narzędzi takich jak powłoki internetowe do pobierania plików i wykonywania poleceń, skryptu do skanowania systemu w poszukiwaniu informacji niezbędnych dla przestępcy, niestandardowego backdoora XServer, CheckAdmin w celu identyfikacji autoryzowanych administratorów itp.
Aby uniknąć dużych strat i urządzeń z jailbreakem, zaleca korzystanie z zaawansowanych kompleksowych rozwiązań McAfee, które zapobiegną uzyskaniu przez wszystkich hakerów kontroli nad poufnymi danymi firmy lub kradzieży haseł.