Μια νέα κινεζική κρατική hacking ομάδα (APT) έχει μολύνει με malware περισσότερα από 200 συστήματα σε όλη τη Νοτιοανατολική Ασία κατά τα τελευταία δύο χρόνια. Σύμφωνα με τους ερευνητές ασφαλείας της Bitdefender, οι επιθέσεις/μολύνσεις αυτές αποτελούν μέρος μιας εκστρατείας κατασκοπείας στον κυβερνοχώρο. Η κινεζική ομάδα, που βρίσκεται πίσω από αυτές, έχει ονομαστεί FunnyDream.
Οι επιθέσεις στοχεύουν κυρίως τις κυβερνήσεις της Νοτιοανατολικής Ασίας. Η Bitdefender δεν ανέφερε ακριβώς ποιες χώρες έχουν επηρεαστεί. Ωστόσο, πριν μερικούς μήνες, η Kaspersky Lab είχε εντοπίσει θύματα της ομάδας FunnyDream στη Μαλαισία, την Ταϊβάν, τις Φιλιππίνες και το Βιετνάμ (όπου βρίσκονταν και τα περισσότερα θύματα).
Και οι δύο εταιρείες ασφαλείας υποστηρίζουν ότι η κινεζική APT ομάδα FunnyDream εξακολουθεί να δραστηριοποιείται στον τομέα της κατασκοπείας στον κυβερνοχώρο, με σκοπό την κλοπή ευαίσθητων εγγράφων από μολυσμένες συσκευές. Μάλιστα, η κατασκοπεία επικεντρώνεται σε θέματα εθνικής ασφάλειας και σε θέματα που σχετίζονται με την βιομηχανία.
Παρόμοιες επιθέσεις είχαν ανακαλυφθεί το 2018
Σύμφωνα με τους ερευνητές της Bitdefender, οι περισσότερες από αυτές τις επιθέσεις έχουν ακολουθήσει ένα απλό μοτίβο και συνδυάζουν τρία malware payloads: Chinoxy, PCShare και FunnyDream (το malware από το οποίο πήρε το όνομα η ομάδα).
Τα τρία malware εξυπηρετούν διαφορετικούς σκοπούς. Το Chinoxy είναι το αρχικό malware, αυτό που λειτουργεί ως backdoor για να γίνει η αρχική πρόσβαση. Ακολουθεί το PCShare (γνωστό κινεζικό open-source trojan απομακρυσμένης πρόσβασης), το οποίο αναπτύσσεται μέσω του Chinoxy και χρησιμοποιείται για την εξερεύνηση των μολυσμένων συσκευών. Τέλος, χρησιμοποιείται το FunnyDream. Είναι το πιο ισχυρό από τα τρία malware. Σύμφωνα με τους ερευνητές, έχει πολλά προηγμένα χαρακτηριστικά και δυνατότητες που του επιτρέπουν να συλλέγει και να κλέβει δεδομένα.
“Κοιτάζοντας το χρονοδιάγραμμα χρήσης του εργαλείου μπορούμε να δούμε ότι οι εγκληματίες ξεκίνησαν αναπτύσσοντας μια σειρά εργαλείων που προορίζονται για γρήγορη εξερεύνηση και εξαγωγή δεδομένων, και αργότερα αποφάσισαν να φέρουν ένα ολοκληρωμένο toolkit, και συγκεκριμένα το FunnyDream toolkit, ώστε να υπάρχει δυνατότητα μακροχρόνιας παρακολούθησης“, δήλωσε στο στο ZDNet ο Liviu Arsene, ερευνητής ασφαλείας στη Bitdefender.
Σύμφωνα με τον ερευνητή, έχουν εντοπιστεί πολλές μολύνσεις κυβερνητικών υποδομών, που στοχεύουν στην κατασκοπεία και πιθανότατα έχουν πολιτικό κίνητρο.
“Λαμβάνοντας υπόψη ότι η Νοτιοανατολική Ασία αντιμετωπίζει πολλά οικονομικά και εμπορικά ζητήματα, που σχετίζονται με τη μετατόπιση των αλυσίδων εφοδιασμού από την Κίνα στη Νοτιοανατολική Ασία, καθώς και τις σχέσεις ΗΠΑ-Κίνας, αυτές οι μολύνσεις μπορεί να είναι μέρος κινεζικών εκστρατειών που στοχεύουν κυβερνητικά ιδρύματα της Νοτιοανατολικής Ασίας για πιθανή κατασκοπεία“, είπε ο ερευνητής και πρόσθεσε ότι ορισμένες χώρες στην περιοχή είχαν πρόσφατα εκλογές, οι οποίες έφεραν αλλαγές στη διακυβέρνηση. Αυτές οι αλλαγές ενδιαφέρουν την Κίνα. Η κυβέρνηση θα μπορούσε να χρησιμοποιήσει μια κρατική hacking ομάδα για κατασκοπεία, προκειμένου να δει αν τα τοπικά καθεστώτα ευθυγραμμίζονται ιδεολογικά και πολιτικά με τα συμφέροντα της Κίνας.
Πηγή: ZDNet