Gruppen, som Symantec har døbt Hidden Lynx, har senest angrebet organisationer i Sydkorea og er ellers særligt kendt for at angribe den amerikanske forsvarsindustri. Symantec kan se, at infrastrukturen og værktøjerne, der anvendes i angrebene stammer fra Kina.

”Hackerne begrænser sig ikke kun til få mål, men rammer i stedet hundredvis af forskellige organisationer i mange forskellige lande samtidigt. Bredden og antallet af mål tyder på, at gruppen er en professionel ”hacker for hire”-gruppe. De stjæler værdifuld forretningskritisk information på ordre og arbejder ikke med specifikke mål”, siger it-sikkerhedsekspert Peter Schjøtt, Symantec.

” Vi ved endnu ikke specifikt, hvem der hyrer dem, men noget tyder på, at de er bestilt af nogen, der vil i kødet på dele af den amerikanske forsvarsindustri. Men det er ikke det eneste, fx har også regeringsfunktioner, finansielle organisationer, industri og medier i en række lande været mål for gruppen. Det er en utrolig velorganisteret gruppe på i hvert fald mellem 50-100 cyberkriminelle, og deres tjenester står til rådighed for alle, der vil betale for det. Hackers for hire er en stigende tendens, som alle – både virksomheder og nationer – skal være opmærksomme på”, siger Peter Schjøtt, Symantec.

Hackergruppen har en vedholdenhed og tålmodighed, som en intelligent jæger, og går gerne hele vejen igennem leverandørkæden med inficerende angreb for at få ram på det ønskede mål. Siden 2011 har Symantec observeret mindst seks betydningsfulde hacker-kampagner af denne gruppe. Den mest bemærkelsesværdige af disse kampagner er VOHO-angrebet i juni 2011, som ramte det amerikanske sikkerhedsfirma Bit9.

”Hackerne ville have adgang til nogle specifikke firmaer i den amerikanske forsvarsindustri, hvis it-systemer var beskyttet af Bit9’s sikkerhedssoftware. De brugte derfor en specielt designet trojansk hest netop rettet mod Bit9, som de ved hjælp af watering hole-metoden plantede i sikkerhedsfirmaet. Dermed fik de adgang til det helligste af det helligste hos Bit9, nemlig virksomhedens signeringsnøgler, som Bit9 bruger til at kvalitetsstemple software som sikkert og pålideligt. Med signeringsnøglerne kunne hackerne signere malware, som Bit9’s software fejlagtigt godkendte som sikkert. På den måde kunne kineserne få adgang til de amerikanske forsvarsvirksomheder. Sådanne firmaer indeholder meget information, som enten konkurrenter eller andre nationer kunne have interesse i at besidde”, fortæller Peter Schjøtt, Symantec.