Ξένοι κρατικοί χάκερς έχουν ξεκινήσει μια τεράστια επιχείρηση πειρατείας έχοντας ως στόχο Κινεζικές κυβερνητικές υπηρεσίες και τους υπαλλήλους τους. Οι επιθέσεις άρχισαν τον Μάρτιο και φαίνεται να συνδέονται με την υπάρχουσα κατάσταση που έχει δημιουργηθεί από τον Κορωνοϊό COVID-19. Η Κινεζική εταιρεία ασφαλείας Qihoo 360, η οποία εντόπισε τις εν λόγω επιθέσεις, δήλωσε ότι οι χάκερς που κρύβονται πίσω από αυτές εκμεταλλεύτηκαν μια ευπάθεια μηδενικών ημερών στους SSL VPN servers της Sangfor, οι οποίοι χρησιμοποιούνται για την παροχή απομακρυσμένης πρόσβασης σε δίκτυα επιχειρήσεων και κυβερνήσεων. Η Qihoo δήλωσε ότι ανακάλυψε περισσότερους από 200 VPN servers που έχουν καταστραφεί από την συγκεκριμένη εκστρατεία. Η εταιρεία ασφαλείας ανέφερε επίσης ότι 174 από αυτούς τους servers βρίσκονται σε δίκτυα που ανήκουν σε Κινεζικές υπηρεσίες στο Πεκίνο και τη Σαγκάη καθώς και σε δίκτυα Κινεζικών διπλωματικών αποστολών που δραστηριοποιούνται σε διάφορες χώρες, μεταξύ των οποίων συγκαταλέγονται η Ιταλία, το Ηνωμένο Βασίλειο, η Τουρκία, η Ινδονησία, η Ταϋλάνδη, η Νότια Κορέα, το Ισραήλ και η Σαουδική Αραβία.
Οι ερευνητές της Qihoo επεσήμαναν ότι οι επιθέσεις που πραγματοποιήθηκαν από αυτή την εκστρατεία με στόχο Κινεζικές υπηρεσίες ήταν περίπλοκες και έξυπνες. Οι χάκερς εκμεταλλεύτηκαν μία ευπάθεια μηδενικών ημερών για να αποκτήσουν τον έλεγχο των VPN servers της Sangfor, όπου αντικατέστησαν ένα αρχείο με την ονομασία SangforUD.exe με μια boobytrapped έκδοση. Αυτό το αρχείο αποτελεί μια ενημέρωση για το Sangfor VPN desktop app, το οποίο οι εργαζόμενοι εγκαθιστούν στους υπολογιστές τους για να συνδεθούν με τους VPN servers και να αποκτήσουν πρόσβαση στα δίκτυα των εταιρειών τους. Οι ερευνητές της Qihoo δήλωσαν ότι κάθε φορά που οι εργαζόμενοι συνδέονταν με τους VPN servers που είχαν χακαριστεί, λάμβαναν το αρχείο SangforUD.exe με boobytrap, το οποίο αργότερα εγκαθιστούσε ένα trojan backdoor στις συσκευές τους.
Η Κινεζική εταιρεία ασφαλείας δήλωσε ότι οι επιθέσεις συνδέονται με μία ομάδα χάκερς που είναι γνωστή με την ονομασία DarkHotel. Η ομάδα εικάζεται ότι δρα από την Κορεατική χερσόνησο, αν και δεν είναι ακόμα γνωστό εάν εδρεύει στη Βόρεια ή τη Νότια Κορέα. Η ομάδα, η οποία δραστηριοποιείται από το 2007, θεωρείται μία από τις πιο εξελιγμένες κρατικές επιχειρήσεις πειρατείας. Η Google αποκάλυψε πρόσφατα ότι η DarkHotel εκμεταλλεύτηκε μέσα στο 2019 ευπάθειες μηδενικών ημερών περισσότερο από οποιαδήποτε άλλη κρατική επιχείρηση hacking. Επίσης, η ομάδα εκμεταλλεύτηκε ευπάθειες μηδενικών ημερών του Firefox και του Internet Explorer, έχοντας ως στόχο κυβερνητικές οργανώσεις στην Κίνα και την Ιαπωνία.
Οι ερευνητές της Qihoo ανέφεραν ακόμη ότι οι πρόσφατες επιθέσεις εναντίον Κινεζικών κυβερνητικών υπηρεσιών θα μπορούσαν να συνδέονται με τον COVID-19. Η Κινεζική εταιρεία ασφαλείας δήλωσε ότι οι χάκερς της DarkHotel ίσως προσπαθούν να αποσπάσουν πληροφορίες σχετικά με το πώς χειρίζεται η Κινεζική κυβέρνηση το ξέσπασμα της πανδημίας. Πριν λίγες μέρες, το Reuters ανέφερε μια επίθεση της DarkHotel εναντίον του Παγκόσμιου Οργανισμού Υγείας, εκμεταλλευόμενη την πανδημία του COVID-19.
Η Qihoo δήλωσε ότι ανέφερε την ευπάθεια μηδενικών ημερών στην Sangfor στις 3 Απριλίου, η οποία δεν ήθελε να κάνει κανένα σχόλιο επί του θέματος στο ZDNet, ωστόσο αναφέρθηκε σε μια δημοσίευση που έκανε η ίδια στο WeChat της εταιρείας, όπου δήλωσε ότι μόνο οι Sangfor VPN servers που εκτελούν εκδόσεις υλικολογισμικού M6.3R1 και M6.1 ήταν ευάλωτοι κι έχουν επιβεβαιωμένα χακαριστεί από την DarkHotel. Επιπλέον, η εταιρεία επεσήμανε ότι θα κυκλοφορήσουν σήμερα patches για την τρέχουσα έκδοση του SSL VPN server, και αύριο για τις παλαιότερες εκδόσεις. Η εταιρεία σχεδιάζει επίσης να κυκλοφορήσει ένα script για να διερευνήσει εάν οι χάκερς έχουν υπονομεύσει VPN servers καθώς και ένα δεύτερο εργαλείο για την κατάργηση των αρχείων που αναπτύσσει η DarkHotel. Οι πελάτες της Sangfor μπορούν να βρουν πρόσθετες λεπτομέρειες στην δημοσίευσή της στο WeChat της εταιρείας.
