APT41 Àr inte din vanliga kinesiska hackargrupp

APT41 Àr inte din vanliga kinesiska hackargrupp

LAS VEGAS — En kinesisk hackargrupp som kallas APT41 verkar ha tagit upp ekonomiska brott utöver det vanliga statligt sponsrade cyberspionaget, avslöjade FireEye-forskare hĂ€r pĂ„ Black Hat.

“APT41 Ă€r unik bland spĂ„rade Kina-baserade aktörer genom att den utnyttjar icke-offentlig skadlig kod som vanligtvis Ă€r reserverad för spionagekampanjer i vad som verkar vara aktivitet för personlig vinning”, sĂ€ger Sandra Joyce, SVP för Global Threat Intelligence pĂ„ FireEye, i ett uttalande.

Denna typ av beteende Ă€r “ovanligt bland kinesiska statssponserade grupper”, enligt FireEye.

APT41: s aktivitet gÄr tillbaka till 2012, dÄ den attackerade mÄl i videospelindustrin. Gruppen utvidgade sin rÀckvidd under de senaste sju Ären och omfattade sÄ smÄningom allt frÄn vÄrd och telekom till teknikföretag och film- och medieföretag. Dessa ÄtgÀrder, sÀger FireEye, var avsedda att frÀmja mÄlen för den kinesiska regeringen. I ett specifikt fall som företaget citerar, gick gruppen efter ett hotell dÀr kinesiska tjÀnstemÀn bodde, förmodligen som en del av nÄgon form av spaningsinsats.

APT41 Ă€r “mycket smidig och ihĂ€rdig, svarar snabbt pĂ„ förĂ€ndringar i offermiljöer och incidentresponderaktivitet”, sĂ€ger FireEye. Det Ă€r ett snyggt sĂ€tt att sĂ€ga att APT41 rullar med stansarna och kan komma tillbaka till system Ă€ven efter att de bra killarna har rensat bort dem. I ett fall distribuerade gruppen över 150 unika skadliga programvaror i en Ă„rslĂ„ng kampanj mot ett enda mĂ„l.

Men det som gör APT41 unik Ă€r de anstrĂ€ngningar som den pĂ„stĂ„s ha gjort för att berika sig sjĂ€lv. FireEye identifierade tvĂ„ forumanvĂ€ndare som handlade under namnen “Zhang Xuguang” och “Wolfzhi” som marknadsförde sina hackfĂ€rdigheter. Driftstimmarna för dessa konton matchar de timmar dĂ„ APT41 aktivt attackerar mĂ„l för videospel, vilket tyder pĂ„ att APT41 tar jobb pĂ„ sidan eller – med ord frĂ„n FireEye – “mĂ„nsken.”

För att fĂ„ in intĂ€kter har “APT41 manipulerat virtuella valutor och till och med försökt att distribuera ransomware”, skriver FireEye. APT41 har enligt uppgift riktat sig till utvecklare, bryt sig in i deras nĂ€tverk och stjĂ€lt digitala certifikat för att signera skadlig kod. Korrekt signerad accepteras denna skadliga kod som legitim, vilket gör att den kan distribueras till mĂ„l. FireEye beskriver detta som en “supply chain” -attack och sĂ€ger att det Ă€r ett kĂ€nnetecken för APT41: s verksamhet.

APT41 har haft mycket framgĂ„ng, men dess bĂ€sta trick verkar vara dess strĂ€van efter vinst. “APT41: s lĂ€nkar till bĂ„de underjordiska marknadsplatser och statligt sponsrad aktivitet kan indikera att gruppen Ă„tnjuter skydd som gör att den kan bedriva sin egen vinstdrivande verksamhet eller att myndigheter Ă€r villiga att förbise dem”, skriver FireEye. “Det Ă€r ocksĂ„ möjligt att APT41 helt enkelt har undvikit granskning frĂ„n kinesiska myndigheter.”

Om det Àr det senare kan FireEye precis ha orsakat APT41 mycket problem.