Systemen die inhoud met betrekking tot de Nationale Spelen van China hosten, werden vorig jaar met succes geschonden door een niet nader genoemde Chineestalige hackgroep.
Cyberbeveiligingsbedrijf Avast, dat ontleed de inbraak, zei dat de aanvallers 12 dagen voor de start van het evenement op 3 september toegang kregen tot een webserver om meerdere reverse webshells te laten vallen voor toegang op afstand en om permanent voet aan de grond te krijgen in het netwerk.
De Nationale Spelen van Chinaeen multisportevenement dat om de vier jaar wordt gehouden, vond plaats in de provincie Shaanxi tussen 15 en 27 september 2021.
Het Tsjechische bedrijf zei dat het niet in staat was om de aard van de door de hackers gestolen informatie te bepalen, en voegde eraan toe dat het “reden heeft om aan te nemen”. [the attackers] zijn ofwel moedertaalsprekers van de Chinese taal of spreken een hoge mate van Chinees.”
De eerste toegang werd vergemakkelijkt door misbruik te maken van een kwetsbaarheid in de webserver. Maar voordat hij de webshells liet vallen, experimenteerde de tegenstander ook met het type bestanden dat ze naar de server konden uploaden, om vervolgens uitvoerbare code in te dienen die zich voordeed als schijnbaar ongevaarlijke afbeeldingsbestanden.
Daarnaast zijn er pogingen gedaan om de server opnieuw te configureren om de Behinder web shellbij gebreke waarvan de operators “een volledige Tomcat-server hebben geüpload en uitgevoerd die correct is geconfigureerd en bewapend” met de post-exploitatietool.
“Nadat ze toegang hadden gekregen, probeerden de aanvallers zich door het netwerk te verplaatsen met behulp van exploits en bruteforce-services op een geautomatiseerde manier”, aldus Avast-onderzoekers David Álvarez Pérez en Jan Neduchal.
Andere tools die naar de server werden geüpload, waren een netwerkscanner en een aangepast exploitatiekader met één klik, geschreven in Go, waarmee de dreigingsactor zijwaartse bewegingen kon uitvoeren en autonoom kon inbreken op andere apparaten binnen hetzelfde netwerk.
“Go is een programmeertaal die steeds populairder wordt en kan worden gecompileerd voor meerdere besturingssystemen en architecturen, in een enkel binair bestand dat alle afhankelijkheden bevat”, aldus de onderzoekers. Go-gebaseerde malware cyberaanvallen uit te voeren.
“Dus we verwachten dat malware en grijze tools in deze taal zijn geschreven bij toekomstige aanvallen, vooral in [Internet of things] aanvallen waarbij een breed scala aan apparaten is betrokken die gebruikmaken van verschillende soorten processorarchitecturen.”
