Chińska grupa hakerska APT opracowała i wykorzystała przeciwko rządowi jednego z azjatyckich państw nieznany wcześniej backdoor dla systemów Windows – ostrzega Check Point Research. Tworzona przez trzy lata “tylna furtka” pozwalała na tworzenie zrzutów ekranu, edycję plików i uruchamianie poleceń na komputerach ofiar. Specjaliści przewidują, że podobne operacje mogą być kierowane również przeciwko innym krajom.

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali operację szpiegowską wymierzoną w rząd jednego z krajów Azji Południowo-Wschodniej. Po zainstalowaniu backdoora atakujący mogli zebrać dowolne informacje, a także wykonywać zrzuty ekranu i uruchamiać dodatkowe złośliwe oprogramowanie na komputerach osobistych ofiar. 

Zdaniem analityków Check Pointa za atakiem stoi chińska grupa hakerska typu ATP, która testowała i udoskonalała backdoora dla systemu Windows od co najmniej trzech lat.

APT (Advanced Persistent Threat) - określenie dla bliżej niezidentyfikowanych podmiotów hakerskich za którymi zazwyczaj stoi państwo lub grupa finansowana przez instytucje wywiadowcze. Celem ATP jest uzyskanie nieautoryzowanego dostępu do sieci komputerowych, pozostając niewykrytym przez dłuższy czas lub prowadzenie ukierunkowanych działań na dużą skalę w określonych celach.

Kampania hakerska rozpoczęła się od rozsyłania szkodliwych dokumentów (.docx) do różnych pracowników instytucji rządowej w Azji Południowo-Wschodniej. Wiadomości zostały sfałszowane tak, aby wyglądały, jakby zostały wysłane przez inne podmioty rządowe, jednak „uzbrojone załączniki” wykorzystywały technikę zdalnego szablonu w celu pobrania złośliwego kodu z serwera grupy atakującej. Tzw. „szablon zdalny” jest funkcją oprogramowania MS Office, która umożliwia pobranie szablonu dokumentu ze zdalnego serwera za każdym razem, gdy użytkownik otworzy dokument.

C:\Users\japaul\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\4DT7OUO8\Chinese APT document.PNG

Przykład dokumentu-przynęty wysłanego do ofiar

Na ostatnim etapie łańcucha infekcji złośliwy program miał pobrać, odszyfrować i załadować do pamięci plik DLL (Dynamic Link Library). Jak informuje Check Point Research, moduł backdoora wydaje się unikatowym, wykonanym na zamówienie złośliwym oprogramowaniem o wewnętrznej nazwie "VictoryDll_x86.dll". Oferuje on m.in. możliwość odczytu i edycji plików, uzyskania informacji o procesach i usługach, pobierania zrzutów ekranu, odczytu i zapisu protokołów oraz uzyskania bliższych informacji o komputerach ofiar.

C:\Users\michaelab\Downloads\Export-9e97fb70-3e73-46ad-a1a1-f28759dbd15a\Summary 18656d38ae9e444791a71edddcc63805\vi_(7).png

Schemat pełnego łańcucha infekcji (Uwaga: Dynamic Link Library (DLL) to format pliku używany do przechowywania wielu kodów i procedur dla programów Windows).

- Wszystkie dowody wskazują na to, że mamy do czynienia z wysoce zorganizowaną operacją, która miała pozostać niezauważona. Co kilka tygodni osoby atakujące wykorzystywały e-maile typu spear-phishing, połączone z uzbrojonymi wersjami dokumentów rządowych, aby spróbować stworzyć przyczółek w Ministerstwie Spraw Zagranicznych. Oznacza to, że napastnicy musieli najpierw zaatakować inny departament w zaatakowanym państwie, kradnąc i uzbrajając dokumenty do wykorzystania przeciwko Ministerstwu Spraw Zagranicznych. – twierdzi Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Software.

Ostatecznie śledztwo Check Pointa doprowadziło do odkrycia nowego backdoora dla systemu Windows, czyli - innymi słowy - nowej broni cyberszpiegowskiej, którą chińska grupa zajmująca się zagrożeniami rozwija najprawdopodobniej od 2017 roku. Backdoor był formowany i wielokrotnie modyfikowany w ciągu trzech lat, zanim został wykorzystywany na komputerach ofiar. Eksperci zaznaczają, że napastników interesują nie tylko zimne dane, ale także to, co w każdej chwili dzieje się na komputerze osobistym celu, co skutkuje tzw. „szpiegostwem na żywo”. Chociaż firmie Check Point udało się zablokować opisaną operację, możliwym jest, że chińscy hakerzy używają swojej nowej broni cyberszpiegowskiej na innych celach na całym świecie.


Materiał zewnętrzny

Tworzenie stron i aplikacji bez kodowania? To możliwe!
Tworzenie stron i aplikacji bez kodowania? To możliwe!
W świecie technologii, gdzie każda firma stara się być na fali cyfrowej transformacji, pojawia się pytanie: czy można tworzyć strony internetowe i aplikacje...

Materiał zewnętrzny

Rejestracja kasy fiskalnej – jak to zrobić?
Rejestracja kasy fiskalnej – jak to zrobić?
Rejestracja kasy fiskalnej jest kluczowym elementem prowadzenia działalności gospodarczej w Polsce, w tym również w takich miastach jak Kraków. Proces...

Zobacz również