Enlarge (credit: Steve McDowell / Agefotostock )

Hacking teams working for the Chinese government are intent on burrowing into the farthest reaches of US infrastructure and establishing permanent presences there if possible. In the past two years, they have scored some wins that could seriously threaten national security.

If that wasn’t clear before, three reports released in the past week make it abundantly so. In one published by security firm Kaspersky, researchers detailed a suite of advanced spying tools used over the past two years by one group to establish a “permanent channel for data exfiltration” inside industrial infrastructure primarily in Europe and the US. A second report published Sunday by The New York Times said that a different group working for the Chinese government had hidden malware that could cause disruptions deep inside the critical infrastructure used by US military bases around the world. Those reports came nine days after Microsoft revealed a breach of email accounts belonging to 25 of its cloud customers, including the Departments of State and Commerce.

The operations appear to be coming from separate departments inside the Chinese government and targeting different parts of US and European infrastructure. The first group, tracked under the name Zirconium, is out to steal data from the targets it infects. A different group, known as Volt Typhoon, according to the NYT, aims to gain the long-term ability to cause disruptions inside US bases, possibly for use in the event of an armed conflict. In both cases, the groups are endeavoring to create permanent beachheads where they can surreptitiously set up shop.

Enlarge (credit: Getty Images)

FBI officials on Tuesday dropped a major bombshell: After spending years monitoring exceptionally stealthy malware that one of the Kremlin’s most advanced hacker units had installed on hundreds of computers around the world, agents unloaded a payload that caused the malware to disable itself.

The counter hack took aim at Snake, the name of a sprawling piece of cross-platform malware that for more than two decades has been in use for espionage and sabotage. Snake is developed and operated by Turla, one of the world's most sophisticated APTs, short for advanced persistent threats, a term for long-running hacking outfits sponsored by nation states.

Inside jokes, taunts, and mythical dragons

If nation-sponsored hacking was baseball, then Turla would not just be a Major League team—it would be a perennial playoff contender. Researchers from multiple security firms largely agree that Turla was behind breaches of the US Department of Defense in 2008 , and more recently the German Foreign Office and France’s military . The group has also been known for unleashing stealthy Linux malware and using satellite-based Internet links to maintain the stealth of its operations.

Enlarge

It’s not the kind of security discovery that happens often. A previously unknown hacker group used a novel backdoor, top-notch trade craft, and software engineering to create an espionage botnet that was largely invisible in many victim networks.

The group, which security firm Mandiant is calling UNC3524, has spent the past 18 months burrowing into victims’ networks with unusual stealth. In cases where the group is ejected, it wastes no time reinfecting the victim environment and picking up where things left off. There are many keys to its stealth, including:

• the use of a unique backdoor Mandiant calls Quietexit, which runs on load balancers, wireless access point controllers, and other types of IoT devices that don’t support antivirus or endpoint detection. This makes detection through traditional means difficult
• customized versions of the backdoor that use file names and creation dates that are similar to legitimate files used on a specific infected device
• a live-off-the-land approach that favors common Windows programming interfaces and tools over custom code with the goal of leaving as light a footprint as possible
• an unusual way a second-stage backdoor connects to attacker-controlled infrastructure by, in essence, acting as a TLS-encrypted server that proxies data through the SOCKS protocol

A tunneling fetish with SOCKS

In a post , Mandiant researchers Doug Bienstock, Melissa Derr, Josh Madeley, Tyler McLellan, and Chris Gardner wrote:

Voilà un mois que Movim 0.9 - Tchouri est sorti et déjà plein de nouvelles fonctionnalités ont été intégrées pour la prochaine version !

Le travail effectué sur la 0.9.1 (qui n'a pas encore de nom pour le moment) se concentre essentiellement sur la partie chat du projet.

Il est déjà possible d'éditer le précédent message envoyé (en utilisant l'extension XEP-0308: Last Message Correction de XMPP) mais aussi de savoir quand un message a été reçu par le destinataire (voir XEP-0184: Message Delivery Receipts).

Petit surprise pour les movimiens: le support des stickers (voir la page Wikipedia pour comprendre de quoi il s'agit) a été ajouté dans le projet (via l'intégration de XEP-0231: Bits of Binary). Ce qui est intéressant avec cette fonctionnalité, c'est qu'il n'y a pas de restriction sur la liste des stickers envoyés ou reçus et qu'il est déjà possible d'envoyer des stickers de Movim vers Pidgin ou Gajim. Un cache est créé par Movim pour éviter de transférer plusieurs fois l'image sur le réseau.

Je travaille également avec des dessinateurs (et dessinatrices !) pour intégrer des stickers exclusifs au projet ! Un premier pack, créé par Corine Tea, est déjà disponible sous licence Creative Commons BY-NC-SA. Je donnerai plus d'informations prochainement là dessus ;)

Dans le reste du projet, quelques retouches esthétiques mineures. La page "Accueil" a été supprimée et son contenu a été fusionné avec la page "Actualité". Plein de petits bugs ont été corrigés ici et là dont un sur la gestion des étiquettes des publications (qui supportent désormais les accents et certains caractères spéciaux !).

Une mise à jour de la librairie Modl a permis d'appliquer de meilleures restrictions sur la base de données et ainsi de la rendre plus cohérente.

Une nouvelle version de l'application bureau de Movim est également sortie pour Debian et Ubuntu. Elle est disponible, comme toujours, sur le dépôt APT officiel du projet apt.movim.eu. Elle corrige certains soucis de navigation et les liens externes sont maintenant ouverts dans le navigateur par défaut.

Le pod nl.movim.eu est passé à la version PHP 7.0 ainsi qu'au HTTP/2 avec un gain de performances à la clef ! N'hésitez pas à utiliser ce pod qui possède exactement les mêmes fonctionnalités que pod.movim.eu.

Il reste encore un petit peu de travail à faire avant la sortie de la 0.9.1. N'hésitez pas à venir discuter avec nous sur le salon officiel du projet, à me poser des questions et à ouvrir des bugs si vous en trouvez !