En ovanligt omfattande dataläcka från en APT-aktör (Advanced Persistent Threat) har gett säkerhetsforskare en unik chans att analysera hur statligt sponsrade hackare arbetar. Innehållet publicerades i den välkända tidskriften Phrack och bekräftas av flera hotanalytiker som äkta.
Materialet består av en stor samling filer som bland annat innehåller dokumentation över tidigare attacker, listor på inloggningsuppgifter, interna kommandoskript och instruktioner för hur intrång genomförs. Flera av de verktyg som beskrivs är anpassade för att kringgå säkerhetssystem och röja så lite spår som möjligt.
Analysen tyder på att läckan kan kopplas till aktörer med band till Kina och Nordkorea, däribland den nordkoreanska gruppen Kimsuky. De framgår att angriparna arbetat systematiskt med att kartlägga mål, samla in känslig information och hålla sig oupptäckta under lång tid. Verktygen omfattar allt från phishing-kampanjer till skräddarsydd skadlig kod och avancerade metoder för att stjäla autentiseringsuppgifter.
Forskare
Forskare menar att innehållet i läckan inte bara bekräftar kända misstankar om hur dessa grupper arbetar, utan också avslöjar nya tekniker som tidigare inte varit offentliga. Genom att studera kommandoskripten och autentiseringsuppgifterna kan säkerhetsföretag och myndigheter stärka sina försvar och snabbare upptäcka pågående intrång.
Enligt experter är det ovanligt att denna typ av intern information från en aktiv APT-grupp blir offentlig. Det ger ett värdefullt underlag för att förstå hotlandskapet och för att utveckla motåtgärder mot framtida attacker.
Källa:
