Ars Technica kirjoittaa laajasta hakkerointikampanjasta, jonka kohteena ovat yritykset eri puolilla maailmaa. Siitä ovat raportoineet Symantecin tietoturvatutkijat, jotka käyttävät hyökkäysten takana olevasta ryhmästä koodinimeä Cicada.

Sen uskotaan olevan Kiinan valtion rahoittama kopla, josta käytetään myös nimiä APT10, Stone Panda ja Cloud Hopper. Ryhmän toiminnasta on havaintoja jo runsaan kymmenen vuoden ajalta. Sen on havaittu keskittyvän urkkimaan etenkin japanilaisyrityksiä. Nyt kohteita on havaittu niin Aasiassa, Euroopassa kuin Yhdysvalloissakin.

”Operaatioiden laajuus on hyvä osoitus Cicadan koosta ja sen kyvyistä. Useisiin suuriin yhtiöihin hyökkääminen eri paikoissa samaan aikaan vaatii paljon resursseja ja taitoa. Tällaista on yleensä nähty vain valtiotason tuella toimivilta hakkeriryhmiltä”, Symantec sanoo.

Symantec on päätellyt hyökkääjän olevan juuri Cicada digitaalisten sormenjälkien perusteella. Näistä mainitaan muun muassa Cicadan aiemminkin käyttämä Quasarrat-takaovi sekä yhdestä dll-tiedostosta löydetty nimi ”FuckYouAnti”.

Hyökkääjät ovat käyttäneet osin yleisesti saatavilla olevia hakkerointityökaluja, osin erityisesti räätälöityjä välineitä. Pakissa on ollut esimerkiksi välineet Windows-palvelimille ylläpitäjän oikeudet antavan Zerologon-haavoittuvuuden hyödyntämiseen. Aukkoon julkaistiin turvapäivitys elokuussa, mutta kaikkiin järjestelmiin sitä ei ole asennettu.

Hyökkäyksessä lähetään nollia sisältäviä viestejä, minkä jälkeen aukeaa pääsy Windowsin Active Directoryn hallintaan ja sitä kautta kaikkiin verkkoon liitettyihin laitteisiin.

Hakkerit käyttävät myös dll-hyökkäystä, jossa Windowsin asiallisia dll-tiedostoja korvataan haitallisilla.