Forskere fra Palo Alto Networks’ analyseteam Unit 42 har opdaget en hidtil ukendt, statssponsoreret hackergruppe, Phantom Taurus.
Gruppen angriber alt fra regeringer til teleselskaber og bruger metoder og trusler, der også bør vække opmærksomhed i Danmark.
Palo Alto Networks, en global leder inden for cybersikkerhed, har offentliggjort ny forskning fra sin forskningsenhed Unit 42, der har identificeret en hidtil ukendt kinesisk hackergruppe, som forskerne kalder Phantom Taurus. Gruppen har gennem de seneste to et halvt år udført målrettede spionageangreb mod regeringsinstitutioner, ambassader og telekommunikationsselskaber i Afrika, Mellemøsten og Asien.
Selvom der endnu ikke er observeret aktivitet i Europa, beskriver Unit 42, at Phantom Taurus benytter de samme teknikker, som ofte ses i angreb mod organisationer med systemer, der kan tilgås direkte fra internettet – for eksempel webservere, loginportaler eller databaser. I stedet for at angribe via traditionelle phishing-mails går gruppen direkte efter de systemer, der udgør indgangen til en organisations netværk. Netop den type systemer er i fokus i forbindelse med NIS2-direktivets skærpede krav om at beskytte kritisk infrastruktur mod cyberangreb.
Phantom Taurus går direkte efter databaser frem for indbakker
Unit 42 kaster lys over, hvordan Phantom Taurus har ændret taktik. Hvor mange hackergrupper tidligere har fokuseret på at stjæle og infiltrere e-mails, går denne gruppe et skridt videre og henter data direkte fra databaser. Et script med navnet mssq.bat bruges til at forbinde til SQL-servere, udføre søgninger efter bestemte oplysninger og eksportere resultaterne til filer, som derefter sendes ud af systemet. Scriptet køres via Windows Management Instrumentation (WMI), hvilket gør det muligt at udføre angreb på afstand og samtidig undgå at blive opdaget.
Ifølge Unit 42 retter gruppen sine angreb mod udenrigsministerier, ambassader og telekommunikationsselskaber og justerer sine aktiviteter efter aktuelle geopolitiske begivenheder. Phantom Taurus’ aktiviteter kan spores helt tilbage 2022 og gruppen arbejder med en tålmodighed og præcision, som normalt kun ses hos statsstøttede aktører.
Kinesisk malware snyder Windows’ forsvar
Unit 42 beskriver en ny type skadelig software, NET-STAR, som er udviklet til at angribe Microsofts webservere – altså de systemer, der driver hjemmesider og digitale tjenester. NET-STAR kan køre direkte i computerens hukommelse uden at gemme sig som almindelige filer, sende krypteret data til angriberne og bruge metoder, der kan omgå Windows’ egne sikkerhedsprogrammer (blandt andet AMSI, som scanner efter virus, og ETW, som registrerer systemaktivitet).
NET-STAR viser, ifølge Unit 42, både høj teknisk kunnen og en klar strategi om at bevare adgang i kompromitterede systemer over længere tid. Gruppen anvender også timestomping – altså ændring af tidsstempler på filer – for at skjule spor og gøre efterforskning vanskeligere.
Selvom der er observeret visse tekniske overlap med kendte kinesiske aktører som APT27 (Iron Taurus) og Mustang Panda (Stately Taurus), konstaterer Unit 42, at NET-STAR og de tilhørende værktøjer ikke tidligere er observeret hos andre grupper. Det underbygger konklusionen om, at Phantom Taurus er en selvstændig og højt specialiseret aktør.
Nye cybertrusler stiller større krav til overvågning og reaktion
Phantom Taurus-rapporten viser, hvordan statsstøttede hackergrupper hele tiden udvikler nye værktøjer for at undgå moderne sikkerhedssystemer. Det kræver langsigtet overvågning og målrettet efterretningsarbejde at forstå og modvirke denne type avancerede trusler, konkluderer Unit 42.
Danske organisationer og virksomheder bør derfor indstille sig på, at nutidens cyberangreb ikke kun handler om at kryptere data og kræve løsepenge – de handler om at opnå adgang og fastholde den over tid. Og det stiller nye krav til detektion, reaktion og beredskab – særligt i en tid hvor NIS2-direktivet skærper forventningerne til både offentlige og private aktørers evne til at beskytte kritisk infrastruktur.
Læs den fulde analyse: https://unit42.paloaltonetworks.com/phantom-taurus
Om Palo Alto Networks
Palo Alto Networks (NASDAQ: PANW) er global leder inden for AI og cybersikkerhed og arbejder for at beskytte den digitale verden gennem kontinuerlig innovation. Flere end 70.000 virksomheder og organisationer globalt beskytter deres forretning med vores AI-baserede sikkerhedsløsninger til netværk, cloud og sikkerhedsoperationer, som bygger på den avancerede trusselsindsigt og analytiske styrke fra Unit 42. Med fokus på platformbaseret sikkerhed hjælper vi virksomheder med at forenkle og skalere deres sikkerhedsarbejde, så innovation kan ske sikkert. Læs mere på www.paloaltonetworks.com.
