Twitter, Microsoft, Apple, Facebook. Alla har de varit måltavlor för en hackergrupp som av säkerhetsföretag fått namnen Wild Neutron, eller Morpho. Efter några uppmärksammade attacker under 2013 gick gruppen under jorden. Men det dröjde inte länge innan de var tillbaka på den kriminella scenen igen, skriver IDG News.
2014 var de tillbaka och har sedan dess intensifierat sin verksamhet, visar två skilda rapporter från säkerhetsföretagen Kaspersky Lab och Symantec. Målet, som tidigare, ekonomiskt spionage och jakt på hemlig affärsinformation och immaterialrätt som de kan använda för sin egen vinnings skull.
Läs mer: Säkerhetslarm: 600 miljoner Samsung-telefoner kan göras till avlyssningsapparater
Symantec har identifierat 49 olika organisationer i över 20 länder som fallit offer Wild Neutron/Morpho. De allra flesta amerikanska, europeiska eller kanadensiska företag inom teknik- och läkemedelsbranschen. Enligt Kaspersky Lab har också företag som jobbar med kryptovalutan bitcoin, hälsovård och mäklarfirmor drabbats. Så väl som privatpersoner.
Hackergruppen tycks inte rikta in sig på myndigheter eller diplomatiska organisationer, vilket har lett till slutsatsen att de troligen inte backas av någon stat. I stället har säkerhetsföretagen gjort bedömningen att det rör sig om väldigt sofistikerade kriminella gäng. De vet hur man ska komma åt informationen och det vet hur de ska utnyttja den för att pressa företagen på pengar, eller sälja den vidare till högstbjudande.
Vid åtminstone två tillfällen har Wild Neutron/Morpho använt sig av så kallade ”zero-day”-attacker. Vilket betyder att de utnyttjat okända hål i mjukvaran, i de här fallen hos Flash Player och Java. De hade också tillgång digitala certifikat som de stulit från taiwanesiska Acer, certifikat som användes för att skriva under program med skadlig kod.
Läs mer: Hackade han verkligen flygplanet?
2013 riktade gruppen en attack mot utvecklare på teknik- och internetföretag från ett redan äventyrat forum för IOS-utvecklare, genom att utnyttja ett säkerhetshål i Java. En så kallad vattenhålsattack, en attack mot en sajt som många i den tänka målgruppen besöker. En metod de använt på ett flertal andra diskussionsforum. Om det fortfarande gäller finns inga klara rapporter om än, men både företagen har sett indikationer på att metoden används.
Lyckas de i sina försök, kan de här webbaserade attackerna installera en bakdörr, specialtillverkad för Windows eller Mac OS X. Därefter kan angriparna, med hjälp av ytterligare hackerverktyg, röra sig genom nätverket och äventyra andra datorer, servrar och enheter.
Attackerna har främst riktats mot regionala kontor, angriparna har sedan rört sig genom företagets interna nätverk och hittat fram till ytterligare platser och huvudkontor.
Läs mer: Virus vi minns: Morris sparkade in internets öppna dörrar
”I flera attacker har gruppen lycktas äventyra eposttjänsterna Microsoft Exchange eller Lotus Domino och fångat upp företags mejl, och möjligen även skickat falska mejl. Gruppen har också attackerat företagens content managment system, vilka ofta kan innehålla rättsliga dokument, finansiella rapporter och produktinformation”, skriver Symantec i sin rapport.
Var gruppens medlemmar kommer ifrån, och var de befinner sig är oklart. Troligen är de inte engelsktalande, vilket ska ha märkts på språket i den skadliga koden. Kaspersky Lab säger sig att hittat spår som visar att gruppen jobbar från Rumänien och Ryssland. Samtidigt visar tiden för attackerna att de kan har utförts från någonstans i USA, men det kan lika väl vara en anpassning efter målgruppens dygnsrytm.
”Morpho är en disciplinerad, tekniskt kunnig grupp, med en hög nivå av operationell säkerhet. Att de lyckats öka aktiviteten under de senaste tre åren, och samtidigt hålla en låg profil, visar att gruppen utgör ett hot som företagen borde ta på allvar”, säger en av Symantecs forskare.
