Network Crack Program Hacker Group
| Bildning | 1994 |
|---|---|
| Typ | hackergrupp |
| Plats | |
Medlemskap |
4 kärnelement, ca. 10 medlemmar (1996) |
| Ledare | Tan Dailin (Wicked Rose) |
Nyckelpersoner |
KuNgBim, Charles, Rodag |
Network Crack Program Hacker Group ( NCPH Group ) är en kinesisk hackergrupp baserad från Zigong i Sichuanprovinsen . Medan gruppen först blev ryktbar efter att ha hackat 40 % av hackerföreningens webbplatser i Kina, växte deras attacker i sofistikerade och ryktbarhet under 2006 och fick internationell uppmärksamhet i media i början av 2007. iDefense länkade GinWui rootkit, utvecklat av deras ledare Tan Dailin ( Wicked ) Rose) med attacker mot USA:s försvarsdepartement i maj och juni 2006. iDefense kopplade gruppen med många av de 35 nolldagars proof-of-concept- koder för hackare som användes i attacker med över en period av 90 dagar under sommaren 2006 De är också kända för program för fjärrstyrning av nätverk som de erbjuder för nedladdning. Wicked Rose meddelade i ett blogginlägg att gruppen får betalt för sitt arbete, men gruppens sponsor är okänd.
Medlemmar
Gruppen hade fyra kärnmedlemmar 2006, Wicked Rose, KuNgBim, Charles och Rodag, med cirka 10 medlemmar totalt. Gruppens nuvarande medlemskap är okänt.
Onda Rose
Wicked Rose , även känd som Meigui (玫瑰), är pseudonymen till den kinesiska hackaren Tan Dailin. Han uppmärksammades först som en hackare under de "patriotiska" attackerna 2001. 2005 kontrakterades Wicked Rose av Sichuans militärkommandokommunikationsavdelning som instruerade honom att delta i Chengdus militärkommandonätsattack/försvarstävling. Efter att ha vunnit den lokala tävlingen fick han en månads intensiv träning i att simulera attacker, designa hackverktyg och utarbeta strategier för nätverksinfiltration. Han och hans team representerade Sichuans militära kommando i en tävling med andra provinser som de fortsatte med att vinna. Wicked Rose är också krediterad för utvecklingen av GinWui rootkit som användes vid attacker mot det amerikanska försvarsdepartementet 2006.
Som gruppens ledare ansvarar han för att hantera relationer med sponsorer och betala NCPH-medlemmar för deras arbete. I april 2009 greps han efter att ha begått distribuerade överbelastningsattacker på Hackbase, HackerXFiles och 3800hk, möjligen i syfte att begå utpressning. de attackerade organisationerna samlade in information om attacken och lämnade in den till avdelningen för allmän säkerhet . Myndigheterna genomförde en utredning och stängde ner hans webbplats. Hackbase rapporterade att Wicked Rose greps och riskerar upp till 7 1/2 års fängelse.
Kontrovers
Gruppen utvisade hackaren WZT den 20 maj 2006. Även om orsaken är okänd, kastade gruppen ut honom strax efter att nolldagsattackerna avslöjades offentligt. WZT var en kodningsexpert inom gruppen.
Associates
Tidigare NCPH-medlem umgås med den kinesiska hackaren Li0n, grundaren av Honker Union of China (HUC). Wicked Rose krediterar den kinesiska hackaren WHG, även känd som "fig", som en av utvecklarna av GinWui rootkit. WHG är expert på skadlig kod. Säkerhetsföretag som undersöker Wicked Roses verksamhet har kopplat honom till den kinesiska hackergruppen Evil Security Team.
Aktiviteter
Gruppen är känd för sina fjärrnätverkskontrollprogram som de erbjuder gratis på sin webbplats och utnyttjandet av nolldagssårbarheter i Microsoft Office- svitprodukter. Efter grundandet 2004 fick gruppen ett rykte bland hackargrupper genom att hacka 40 % av hackerföreningens webbplatser i Kina.
GinWui Rootkit
Wicked Rose är skaparen av GinWui rootkit. Hans kod och supportinlägg finns på kinesiska hackeranslagstavlor och var också tillgängliga från NCPH-bloggen.
Säkerhetsforskare upptäckte rootkit den 18 maj 2006 angripare använde den i attacker mot USA och Japan. Angripare introducerade den till USA i en attack mot en enhet av försvarsdepartementet. De använde två olika versioner av rootkit i attacker under maj och juni 2006.
Enligt F-secure är GinWui "en fullt utrustad bakdörr med rootkit-egenskaper." Den distribueras genom Word-dokument. Bakdörren som GinWui skapar tillåter den kontrollerande hackaren kontroll över vissa processer på den komprometterade datorn inklusive förmågan att,
- Skapa, läs, skriv, ta bort och sök efter filer och kataloger,
- Få åtkomst till och ändra registret,
- Manipulera tjänster,
- Starta och döda processer,
- Få information om den infekterade datorn,
- och låsa, starta om eller stänga av Windows, bland andra aktiviteter.
Enligt Information Systems Security får rootkitet också åtkomst på kärnnivå för att "...fälla flera funktioner och modifiera information som skickas till användaren."
Microsoft Office utnyttjar
IDefense länkar NCPH med många av de 35 nolldagars- och proof-of-concept-koder som används i attacker mot Microsoft Office-produkter under en period av 90 dagar under sommaren 2006 på grund av användningen av skadlig programvara utvecklad av Wicked Rose och inte tillgänglig i allmän egendom vid den tiden. Gruppen tog examen från sina tidiga attacker genom att endast utnyttja Microsoft Word, och i slutet av 2006 använde de även Power Point och Excel i attacker. NCPH använder dessa exploateringar i spjutfiskeattacker .
Riktade spam-attacker
På sin blogg diskuterade Wicked Rose sin preferens för spjutfiskeattacker. Först, under insamlingsfasen, samlas information in med hjälp av öppen källinformation eller från anställdas databaser eller brevlådor i ett företags system. Han kan också utföra analyser av användar-ID som gör att de kan spåra och förstå sina aktiviteter. Slutligen utför han attacken med hjälp av den insamlade informationen och någon kommer sannolikt att öppna det infekterade dokumentet.
Spear phishing-attacker som tillskrivs NCPH ökade i sofistikering med tiden. Medan deras nätfiskeattacker i början av 2006 riktade sig mot ett stort antal anställda, riktade en attack som tillskrivs gruppen senare samma år en individ i ett amerikanskt oljebolag med hjälp av socialt utformade e-postmeddelanden och infekterade Power Point-dokument.
Sponsorskap
Efter att ha vunnit den militära nätverksattack/försvarstävlingen fick gruppen en sponsor som betalade dem 2000 RMB per månad. IDefense tror att deras sponsor sannolikt är People's Liberation Army (PLA) men har inga definitiva bevis som stödjer detta påstående. Efter attackerna 2006 höjde deras sponsor sin lön till 5000 RMB. Gruppens nuvarande sponsor är okänd.
Mediebevakning
Time- reportern Simon Elegant intervjuade åtta medlemmar i gruppen i december 2007 som en del av en artikel om kinesiska myndigheters cyberoperationer mot den amerikanska regeringen. Under intervjun hänvisade medlemmarna till varandra med hjälp av kodnamn. Säkerhetsföretaget iDefense har publicerat rapporter om gruppen och deras bedrifter och ägnat ett webinar åt gruppen, deras kapacitet och relationer med andra kinesiska hackare. Scott Henderson, kinesisk lingvistik och kinesisk hackerexpert, har också ägnat flera blogginlägg åt gruppen och deras pågående aktiviteter.
Blogga
Alla fyra kärnmedlemmarna i gruppen har bloggat om sina aktiviteter vid ett eller annat tillfälle. Gruppens blogg NCPH.net erbjöd även nätverksinfiltrationsprogram för nedladdning. Scott Henderson beskriver Wicked Roses tidiga blogginlägg som "det mest avslöjande och fördömande jag någonsin sett en kinesisk hackare skriva." Efter intervjun med Time tog reportern Wicked Rose ner gruppens blogg och hans blogg. I juli 2008 kom gruppens blogg tillbaka, men med modifierat innehåll. Withered Rose började också blogga igen och sa att han var upptagen under tiden bloggen låg nere, men att hans nya jobb ger honom mer tid att blogga. Kinesiska tjänstemän tog bort båda bloggarna efter hans arrestering i april 2009. Rodag bloggar också, men det senaste inlägget är från augusti 2008. Hans senaste inlägg handlar om IE-sårbarheter som angripare kan använda för att utnyttja en användares skrivbord.