Chiński koń trojański w konflikcie o Morze Południowochińskie

„Wygląda na to, że ten zaawansowany atak APT (advanced persistent threat) jest ściśle powiązany ze sporem i postępowaniem pomiędzy Filipinami a Chinami o Morze Południowochińskie” – mówi Erka Koivunen, doradca ds. cyberbezpieczeństwa w F-Secure. „Nie dość, że wszystkie zaatakowane organizacje są z tą sprawą w jakiś sposób związane, to jego pojawienie się zbiega się w czasie ze zdarzeniami i publikacją wiadomości na temat wyników postępowania przed Trybunałem w Hadze” – tłumaczy ekspert.

Wśród zaatakowanych organizacji wymienionych w raporcie znalazły się: filipińskie Ministerstwo Sprawiedliwości, które było zaangażowane w sprawę zgłoszoną przez Filipiny przeciwko Chinom; organizatorzy szczytu państw Azji i Pacyfiku APEC (Asia-Pacific Economic Cooperation), który odbył się na Filipinach w listopadzie 2015 roku oraz duża międzynarodowa firma prawnicza.

Analiza techniczna wykazała powiązanie z kodem i infrastrukturą pochodzącymi od deweloperów z Chin. Dodatkowo, infiltrowane organizacje są bezpośrednio powiązane ze sprawami, które leżą w strategicznym interesie chińskiego rządu. Wszystkie te przesłanki skłaniają badaczy do przypuszczeń, że złośliwe oprogramowanie jest pochodzenia chińskiego.

„Jeśli podejrzenia naszych badaczy są właściwe, oznaczałoby to, że Chińczycy stosują techniki cyberszpiegowskie, aby uzyskać lepszy wgląd w kulisy postępowania arbitrażowego” – mówi Koivunen.

NanHaiShu jest rozprowadzany poprzez spersonalizowane wysyłki e-mailowe (spear phishing), które zawierają terminologię branżową charakterystyczną dla atakowanych organizacji, co wskazuje na to, że e-maile zostały specjalnie przygotowane z myślą o konkretnych odbiorcach. Plik załączany do e-maili zawiera złośliwe makro, które uruchamia wbudowany plik JScript. Po zainstalowaniu NanHaiShu wysyła dane z zainfekowanej maszyny na zdalny serwer i może pobrać dowolny plik, który wybierze haker.