Программа взлома сети Hacker Group

Группа хакеров программы взлома сети (NCPH)
Формирование	1994
Тип	хакерская группа
Расположение	Провинция Сычуань , Китай ;
Членство	4 основных члена, ок. 10 участников (1996)
Лидер	Тан Дайлин (Злая Роза)
Ключевые люди	КуНгБим, Чарльз, Родаг

Группа хакеров программы взлома сети ( NCPH Group ) — китайская хакерская группа, базирующаяся в Цзыгуне в провинции Сычуань . ^{[ 1 ]} Хотя группа впервые получила известность после взлома 40% веб-сайтов хакерских ассоциаций в Китае. ^{[ 2 ]} их атаки стали более изощренными и известными в течение 2006 года и привлекли внимание международных средств массовой информации в начале 2007 года. iDefense GinWui связала руткит , разработанный их лидером Тан Дайлинем (Злая Роза), с атаками на Министерство обороны США в мае и июне 2006 года. группа со многими из 35 кодов нулевого дня хакерских для проверки концепции , использованных в атаках в течение более 90 дней летом 2006 года. Они также известны программами удаленного управления сетью, которые они предлагают для загрузки. Wicked Rose объявила в своем блоге, что группе платят за работу, но спонсор группы неизвестен. ^{[ 1 ]}

Члены

В 2006 году в группе было четыре основных участника: Wicked Rose, KuNgBim, Charles и Rodag, всего около 10 участников. ^{[ 1 ]} Текущий состав группы неизвестен.

Злая Роза

Злая Роза , также известная как Мэйгуи (玫瑰), — это псевдоним китайского хакера Тан Дайлина. ^{[ 3 ]} Впервые он упоминается как хакер во время «патриотических» атак 2001 года. ^{[ 4 ]} В 2005 году Wicked Rose заключил контракт с Департаментом связи военного командования провинции Сычуань , который поручил ему участвовать в соревнованиях по атаке и защите сети военного командования Чэнду. После победы в местном конкурсе он прошел месяц интенсивного обучения по моделированию атак, разработке хакерских инструментов и разработке стратегий проникновения в сеть. Он и его команда представляли военное командование Сычуани в соревновании с другими провинциями, которое они впоследствии выиграли. ^{[ 2 ]} Wicked Rose также приписывают разработку руткита GinWui, который использовался при атаках на Министерство обороны США в 2006 году. ^{[ 1 ]}

Как лидер группы, он отвечает за управление отношениями со спонсорами и оплату работы членов NCPH. ^{[ 1 ]} В апреле 2009 года он был арестован после совершения распределенных атак типа «отказ в обслуживании» на Hackbase , HackerXFiles и 3800hk, возможно, с целью шантажа. Атакующие организации собрали информацию о нападении и передали ее в отдел общественной безопасности . Власти провели расследование и закрыли его сайт. ^{[ 5 ]} Hackbase сообщил, что Wicked Rose арестована и ей грозит до 7 наказаний ^1/2 годы в тюрьме. ^{[ 6 ]}

Споры

Группа исключила хакера WZT 20 мая 2006 года. Хотя причина неизвестна, группа исключила его вскоре после того, как об атаках нулевого дня было публично раскрыто. WZT был экспертом по программированию в группе. ^{[ 1 ]}

Партнеры

Бывший член NCPH связан с китайским хакером Ли0ном, основателем Honker Union of China (HUC). Wicked Rose упоминает китайского хакера WHG, также известного как «фиг», как одного из разработчиков руткита GinWui. WHG — эксперт по вредоносному коду. Охранные фирмы, расследующие деятельность Wicked Rose, связали его с китайской хакерской группой Evil Security Team . ^{[ 1 ]}

Деятельность

Группа известна своими программами удаленного управления сетью, которые они бесплатно предлагают на своем веб-сайте. ^{[ 2 ]} и эксплуатация уязвимостей нулевого дня в продуктах пакета Microsoft Office . ^{[ 1 ]} После своего основания в 2004 году группа заработала репутацию среди хакерских группировок, взломав 40% веб-сайтов хакерских ассоциаций в Китае. ^{[ 2 ]}

GinWui Руткит

Wicked Rose — создатель руткита GinWui. Его код и сообщения поддержки размещены на досках объявлений китайских хакеров, а также доступны в блоге NCPH. ^{[ 1 ]}

Исследователи безопасности обнаружили руткит 18 мая 2006 года. Злоумышленники использовали его в атаках на США и Японию. Злоумышленники представили его США во время атаки на подразделение Министерства обороны. В ходе атак в мае и июне 2006 года они использовали две разные версии руткита. ^{[ 1 ]}

По данным F-secure, GinWui представляет собой «полноценный бэкдор с характеристиками руткита». Распространяется через документы Word. Бэкдор, созданный GinWui, позволяет хакеру контролировать определенные процессы взломанного компьютера, включая возможность:

Создание, чтение, запись, удаление и поиск файлов и каталогов.
Доступ и изменение реестра,
Манипулировать услугами,
Запускать и убивать процессы,
Получить информацию о зараженном компьютере,
и блокировать, перезапускать или выключать Windows, помимо других действий. ^{[ 7 ]}

По данным Information Systems Security, руткит также получает доступ на уровне ядра, чтобы «...перехватывать несколько функций и изменять информацию, передаваемую пользователю». ^{[ 8 ]}

Эксплойты Microsoft Office

IDefense связывает NCPH со многими из 35 кодов «нулевого дня» и кодов проверки концепции, использованных в атаках на продукты Microsoft Office в течение 90 дней летом 2006 года из-за использования вредоносного ПО, разработанного Wicked Rose и недоступного в США. общественное достояние того времени. Группа завершила свои первые атаки, используя только Microsoft Word, а к концу 2006 года они также использовали в атаках Power Point и Excel. NCPH использует эти уязвимости в целевых фишинговых атаках. ^{[ 1 ]}

Целевой фишинг

В своем блоге Wicked Rose рассказал о своем предпочтении целевых фишинговых атак. Во-первых, на этапе сбора информация собирается с использованием информации из открытых источников или из баз данных сотрудников или почтовых ящиков системы компании. Он также может проводить анализ идентификаторов пользователей, что позволяет им отслеживать и понимать свою деятельность. Наконец, он проводит атаку, используя собранную информацию, и кто-то, скорее всего, откроет зараженный документ. ^{[ 3 ]}

Целевые фишинговые атаки, приписываемые NCPH, со временем становились все более изощренными. В то время как их фишинговые атаки в начале 2006 года были нацелены на большое количество сотрудников, одна атака, приписываемая группе позже в том же году, была нацелена на одного человека в американской нефтяной компании, который использовал электронную почту, созданную с помощью социальной инженерии , и зараженные документы Power Point. ^{[ 1 ]}

Спонсорство

После победы в соревновании по атаке и защите военной сети группа нашла спонсора, который платил им 2000 юаней в месяц. IDefense полагает, что их спонсором, скорее всего, является Народно-освободительная армия (НОАК), но не имеет убедительных доказательств, подтверждающих это утверждение. После терактов 2006 года их спонсор увеличил им зарплату до 5000 юаней. ^{[ 1 ]} Текущий спонсор группы неизвестен.

Освещение в СМИ

Репортер Time Саймон Элегант взял интервью у восьми членов группы в декабре 2007 года в рамках статьи о кибероперациях правительства Китая против правительства США. Во время интервью участники называли друг друга кодовыми именами. ^{[ 2 ]} Охранная фирма iDefense опубликовала отчеты о группе и ее подвигах. ^{[ 1 ]} и посвятил вебинар группе, их возможностям и взаимоотношениям с другими китайскими хакерами. ^{[ 4 ]} Скотт Хендерсон, китайский лингвист и эксперт по китайским хакерам, также посвятил несколько сообщений в блоге группе и ее текущей деятельности. ^{[ 3 ]}^{[ 5 ]}

Ведение блога

Все четыре основных члена группы в тот или иной момент писали в блогах о своей деятельности. Блог группы NCPH.net также предлагал для скачивания программы для проникновения в сеть. ^{[ 2 ]} Wicked Rose Скотт Хендерсон описывает ранние сообщения в блоге как «самую разоблачительную и изобличающую вещь, которую я когда-либо видел от китайского хакера». ^{[ 3 ]} После интервью журналу Time репортер Wicked Rose удалил блог группы и его блог. ^{[ 2 ]} В июле 2008 года блог группы вернулся, но с измененным содержанием. Увядшая Роуз также снова начала вести блог, заявив, что он был занят, пока блог не работал, но его новая работа дает ему больше времени для ведения блога. ^{[ 9 ]} Китайские чиновники удалили оба блога после его ареста в апреле 2009 года. ^{[ 5 ]} Родаг также ведет блог, но самая последняя запись датирована августом 2008 года. Его последняя публикация посвящена уязвимостям IE, которые злоумышленники могут использовать для использования рабочего стола пользователя. ^{[ 10 ]}

См. также

Ссылки

^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н «Архивная копия» . Архивировано из оригинала 16 августа 2011 г. Проверено 25 января 2011 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Враги у брандмауэра – ВРЕМЯ
^ Перейти обратно: ^а ^б ^с ^д «Темный гость » Роза под любым другим именем… Иногда не так сладко!» . Архивировано из оригинала 13 июля 2010 г. Проверено 19 февраля 2010 г.
^ Перейти обратно: ^а ^б Интернет-трансляция: Китайская «Злая роза» и хакерская группа NCPH | Security4all — посвящен цифровой безопасности, предприятию 2.0 и навыкам презентации.
^ Перейти обратно: ^а ^б ^с «Темный гость » Увядшая роза… Закон выполнен, пришел и забрал его» . Архивировано из оригинала 23 июня 2010 г. Проверено 19 февраля 2010 г.
↑ Веб-сайт киберпреступной банды Rose Hacker заблокирован — Information-Heiji.com. Архивировано 6 января 2010 г. на Wayback Machine.
^ Описание угрозы:Ginwui.A
^ Данэм, Кен (декабрь 2006 г.). «Год руткита». Безопасность информационных систем . 15 (6). Нью-Йорк: Taylor & Francisco Ltd.: 2–6. дои : 10.1080/10658980601051797 . ISSN 1065-898X . S2CID 20293217 . ПроКвест 229563212 .
^ «Темный гость» Возвращение китайского хакера Withered Rose . Архивировано из оригинала 9 сентября 2010 г. Проверено 19 февраля 2010 г.
^ http://translate.googleusercontent.com/translate_c?hl=en&sl=zh-CN&u=http://rodag.blogbus.com/&prev=/search%3Fq%3D%2522Rodag%2522%2BNCPH%26hl%3Den% 26client%3Dfirefox-a%26rls%3Dorg.mozilla:en-US:official%26sa%3DN%26start%3D10&rurl=translate.google.com&usg=ALkJrhjw6MkFKtUDy7hEQmRqzlEPcW5t8w ^{[ мертвая ссылка ]}

Внешние ссылки

[fserror1-1] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н «Архивная копия» . Архивировано из оригинала 16 августа 2011 г. Проверено 25 января 2011 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[autogenerated1-2] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Враги у брандмауэра – ВРЕМЯ

[thedarkvisitor2007-3] Перейти обратно: ^а ^б ^с ^д «Темный гость » Роза под любым другим именем… Иногда не так сладко!» . Архивировано из оригинала 13 июля 2010 г. Проверено 19 февраля 2010 г.

[security4all2007-4] Перейти обратно: ^а ^б Интернет-трансляция: Китайская «Злая роза» и хакерская группа NCPH | Security4all — посвящен цифровой безопасности, предприятию 2.0 и навыкам презентации.

[thedarkvisitor1-5] Перейти обратно: ^а ^б ^с «Темный гость » Увядшая роза… Закон выполнен, пришел и забрал его» . Архивировано из оригинала 23 июня 2010 г. Проверено 19 февраля 2010 г.

[6] Веб-сайт киберпреступной банды Rose Hacker заблокирован — Information-Heiji.com. Архивировано 6 января 2010 г. на Wayback Machine.

[7] Описание угрозы:Ginwui.A

[8] Данэм, Кен (декабрь 2006 г.). «Год руткита». Безопасность информационных систем . 15 (6). Нью-Йорк: Taylor & Francisco Ltd.: 2–6. дои : 10.1080/10658980601051797 . ISSN 1065-898X . S2CID 20293217 . ПроКвест 229563212 .

[9] «Темный гость» Возвращение китайского хакера Withered Rose . Архивировано из оригинала 9 сентября 2010 г. Проверено 19 февраля 2010 г.

[10] ttp://translate.googleusercontent.com/translate_c?hl=en&sl=zh-CN&u=http://rodag.blogbus.com/&prev=/search%3Fq%3D%2522Rodag%2522%2BNCPH%26hl%3Den% 26client%3Dfirefox-a%26rls%3Dorg.mozilla:en-US:official%26sa%3DN%26start%3D10&rurl=translate.google.com&usg=ALkJrhjw6MkFKtUDy7hEQmRqzlEPcW5t8w ^{[ мертвая ссылка ]}

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]