Vijf jaar lang is een aan China gelieerde hackersgroep actief bezig geweest met het hacken van satelliet-, telecom- en defensiebedrijven in de Verenigde Staten en in Zuidoost-Azië. Het gaat om de hackersgroep Thrip, die volgens Symantec al sinds 2013 actief is en gebruik maakt van computers in China.
Volgens het security response attack investigation team van Symantec lanceerde Thrip aanvallen vanaf drie computers in China. Zij zouden gevoelige doelen hebben, wat wijst op spionage of pogingen om andere staten tegen te werken of verstoren. Het zou gaan om aanvallen waarbij gebruik gemaakt wordt van de tools die zich al op de netwerken van slachtoffers bevinden.
Standaard tools
Synamtec CEO Greg Clark laat in een statement weten dat de Thrip-groep al sinds 2013 actief is. “In hun laatste campagne gebruikten ze standaard tools van besturingssystemen, zodat getroffen organisaties hun aanwezigheid niet opmerkten,” aldus Clark. De groep werkt met verfijnde technieken en methodes, zodat ze zo lang mogelijk onopgemerkt blijven. “Ze worden enkel ontdekt door kunstmatige intelligentie, die hun bewegingen kan identificeren en aanduiden.”
Deze technieken maken dat het voor analisten langer duurt om uit te zoeken wat er precies aan de hand is. Synamtec kon ze volgen door de Targeted Attack Analytics (TAA) tool, die gebruik maakt van kunstmatige intelligentie om door een boel telemetrie heen te werken en patronen te zoeken die geassocieerd worden met aanvallen.
Activiteiten ontdekt
Analisten ontdekten meer over de activiteiten van Thrip, toen ze er in januari achter kwamen dat een aanvaller gebruik maakte van de Microsoft Sysinternals tool PsExec, om tussen machines te bewegen in het geïnfiltreerde netwerk van Zuidoost-Aziatische telecomprovider. Door de PsExec-tool te gebruiken, konden de aanvallers een geüpdatete versie van de Trojan-Rikamanu-malware installeren. Ook ontwikkelden de aanvallers nieuwe malware die als Infostealer.Catchamas geïdentificeerd is.
Alarmerend is vooral dat Thrip interesse heeft in bedrijven die werken met satellieten, actief zijn in de telecomindustrie of defensiebedrijven. Die bedreiging moet volgens Clark absoluut aangepakt worden, omdat de groep actief software bouwt die computers waarmee satellietnetwerken beheerd worden infecteert.
“Spionage is zeer waarschijnlijk het motief van de groep. Maar gezien de interesse die de groep heeft in het verstoren van operationele systemen, kan het ook een agressievere, meer verstorende aanpak hanteren als ze dat wil,” concludeert Clark.
3 uur geleden
