Η κυβέρνηση της Μαλαισίας και οι ερευνητές ασφαλείας ανέφεραν χθες σε μια δήλωσή τους ότι μια κινεζική hacking ομάδα (που χρηματοδοτείται από το κινεζικό κράτος) πραγματοποιεί επιθέσεις σε κυβερνητικούς αξιωματούχους της χώρας. Η MyCERT (η ομάδα αντιμετώπισης έκτακτων καταστάσεων της Μαλαισίας) δήλωσε ότι οι Κινέζοι hackers στοχεύουν στη μόλυνση των υπολογιστών των αξιωματούχων με κακόβουλο λογισμικό και στην κλοπή εμπιστευτικών εγγράφων από τα κυβερνητικά δίκτυα.
Επιθέσεις
Σύμφωνα με τους ερευνητές, οι επιθέσεις ξεκινούν με την αποστολή spear-phishing emails στους κυβερνητικούς αξιωματούχους.
Συνήθως, οι επιτιθέμενοι παριστάνουν τους δημοσιογράφους ή εκπροσώπους στρατιωτικών οργανισμών και μη κυβερνητικών οργανώσεων (ΜΚΟ).
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Πώς να Αναγνωρίσετε AI Video Call Scams;
Τα μελλοντικά VR headsets θα διαθέτουν ολογραφικούς φακούς
Τα emails, που εξέτασαν οι ερευνητές, περιείχαν συνδέσμους που οδηγούσαν σε έγγραφα, αποθηκευμένα στο Google Drive. Κατά το άνοιγμα των εγγράφων, ζητούνταν από τα θύματα να ενεργοποιήσουν τις μακροεντολές.
Οι κακόβουλες μακροεντολές χρησιμοποιούσαν δύο Office exploits (CVE-2014-6352 και CVE-2017-0199) για την εκτέλεση κακόβουλου κώδικα στο σύστημα του θύματος, ο οποίος θα επέτρεπε τη λήψη και την εγκατάσταση κακόβουλου λογισμικού.
Σύμφωνα με τους ερευνητές, οι Κινέζοι hackers στοχεύουν στην κλοπή σημαντικών πληροφοριών, σχετικά με συγκεκριμένα κυβερνητικά projects και όλες τις περαιτέρω λεπτομέρειες (προτάσεις, συναντήσεις, οικονομικά δεδομένα, σχέδια κλπ).
Οι ειδικοί της MyCERT δεν είπαν αν οι κυβερνητικοί αξιωματούχοι επηρεάστηκαν τελικά από αυτές τις επιθέσεις.
Έμμεση κατηγορία στην Κίνα
Στην πραγματικότητα, η MyCERT δεν κατηγόρησε άμεσα την κινεζική κυβέρνηση για τις επιθέσεις. Ωστόσο, η έρευνά της καταλήγει σε αυτό το συμπέρασμα, καθώς οι Κινέζοι hackers παρουσιάζουν συνήθως τη συμπεριφορά που παρατήρησαν οι ερευνητές.
Τα hacking εργαλεία και ο τρόπος δράσης των hackers θυμίζουν την κινεζική hacking ομάδα κατασκοπείας, APT40, η οποία είναι γνωστό ότι συνδέεται με την κινεζική κυβέρνηση.
Μια έκθεση, που δημοσιεύθηκε τον περασμένο μήνα από μια ομάδα ερευνητών, ανέφερε ότι οι Κινέζοι hackers που ανήκουν στην ομάδα APT40, λειτουργούν υπό την επίβλεψη του κινεζικού Υπουργείου Κρατικής Ασφάλειας.
Σύμφωνα με την FireEye, η συγκεκριμένη ομάδα έχει στοχεύσει πολλές άλλες χώρες, πέρα από τη Μαλαισία: Ηνωμένο Βασίλειο, Ηνωμένες Πολιτείες, Ελβετία, Γερμανία, Βέλγιο, Νορβηγία, Καμπότζη, Χονγκ Κονγκ, Φιλιππίνες και Σαουδική Αραβία.
Οι Κινέζοι hackers είναι επίσης γνωστοί με τα ονόματα TEMP.Periscope, TEMP.Jumper, Leviathan, BRONZE MOHAWK, GADOLINIUM. Η ομάδα δραστηριοποιείται από το 2014.