Chińscy hakerzy zaatakowali instytucje rządowe

Tworzona przez trzy lata “tylna furtka" pozwalała na tworzenie zrzutów ekranu, edycję plików i uruchamianie poleceń na komputerach ofiar. Specjaliści przewidują, że podobne operacje mogą być kierowane również przeciwko innym krajom.

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali operację szpiegowską wymierzoną w rząd jednego z krajów Azji Południowo-Wschodniej. Po zainstalowaniu backdoora atakujący mogli zebrać dowolne informacje, a także wykonywać zrzuty ekranu i uruchamiać dodatkowe złośliwe oprogramowanie na komputerach osobistych ofiar.

Zdaniem analityków Check Pointa za atakiem stoi chińska grupa hakerska typu ATP, która testowała i udoskonalała backdoora dla systemu Windows od co najmniej trzech lat.

APT (Advanced Persistent Threat) - określenie dla bliżej niezidentyfikowanych podmiotów hakerskich za którymi zazwyczaj stoi państwo lub grupa finansowana przez instytucje wywiadowcze. Celem ATP jest uzyskanie nieautoryzowanego dostępu do sieci komputerowych, pozostając niewykrytym przez dłuższy czas lub prowadzenie ukierunkowanych działań na dużą skalę w określonych celach.

---

Kampania hakerska rozpoczęła się od rozsyłania szkodliwych dokumentów (.docx) do różnych pracowników instytucji rządowej w Azji Południowo-Wschodniej. Wiadomości zostały sfałszowane tak, aby wyglądały, jakby zostały wysłane przez inne podmioty rządowe, jednak "uzbrojone załączniki" wykorzystywały technikę zdalnego szablonu w celu pobrania złośliwego kodu z serwera grupy atakującej. Tzw. "szablon zdalny" jest funkcją oprogramowania MS Office, która umożliwia pobranie szablonu dokumentu ze zdalnego serwera za każdym razem, gdy użytkownik otworzy dokument.

Na ostatnim etapie łańcucha infekcji złośliwy program miał pobrać, odszyfrować i załadować do pamięci plik DLL (Dynamic Link Library). Jak informuje Check Point Research, moduł backdoora wydaje się unikatowym, wykonanym na zamówienie złośliwym oprogramowaniem o wewnętrznej nazwie "VictoryDll_x86.dll". Oferuje on m.in. możliwość odczytu i edycji plików, uzyskania informacji o procesach i usługach, pobierania zrzutów ekranu, odczytu i zapisu protokołów oraz uzyskania bliższych informacji o komputerach ofiar.

- Wszystkie dowody wskazują na to, że mamy do czynienia z wysoce zorganizowaną operacją, która miała pozostać niezauważona. Co kilka tygodni osoby atakujące wykorzystywały e-maile typu spear-phishing, połączone z uzbrojonymi wersjami dokumentów rządowych, aby spróbować stworzyć przyczółek w Ministerstwie Spraw Zagranicznych. Oznacza to, że napastnicy musieli najpierw zaatakować inny departament w zaatakowanym państwie, kradnąc i uzbrajając dokumenty do wykorzystania przeciwko Ministerstwu Spraw Zagranicznych. - twierdzi Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Software.

Ostatecznie śledztwo  doprowadziło do odkrycia nowego backdoora dla systemu Windows, czyli - innymi słowy - nowej broni cyberszpiegowskiej, którą chińska grupa zajmująca się zagrożeniami rozwija najprawdopodobniej od 2017 roku. Backdoor był formowany i wielokrotnie modyfikowany w ciągu trzech lat, zanim został wykorzystywany na komputerach ofiar. Eksperci zaznaczają, że napastników interesują nie tylko zimne dane, ale także to, co w każdej chwili dzieje się na komputerze osobistym celu, co skutkuje tzw. "szpiegostwem na żywo".