Čínská hackerská skupina má novou kyberšpionážní zbraň

Check Point Research varuje před novou kybernetickou špionážní zbraní, kterou používá čínská hackerská skupina. Check Point odhalil a zablokoval špionážní kampaň zaměřenou na vládu země v jihovýchodní Asii. Útočníci se vydávali za členy vlády a zasílali vytipovaným zaměstnancům ministerstva zahraničních věcí nebezpečné dokumenty. Ke špionážím byl použit dosud neznámý backdoor pro systém Windows. V případě úspěšného útoku získali hackeři přístup k téměř libovolným informacím v infikovaných počítačích a mohli také pořizovat snímky obrazovky, editovat soubory nebo spouštět příkazy a další malware. Zdá se, že útočníci testovali a vylepšovali backdoor minimálně poslední tři roky.

Infekční řetězec lze zjednodušeně shrnout do 3 kroků:

1. Oběť obdrží e-mail s nebezpečnou přílohou, přičemž odesílatel vypadá jako člen jiného ministerstva nebo vládní komise.
2. Otevřením dokumentu oběť spustí řetězec událostí, které mohou vyústit v instalací backdooru.
3. Backdoor sbírá všechny informace, které útočníky zajímají, včetně výpisu souborů a aktivních programů. Útočníci také získají vzdálený přístup k počítači.

Útočníci vytvořili během tří let nový backdoor, tedy typ malwaru, který obejde běžné ověřovací postupy pro přístup do systému. Modul backdooru s interním názvem „VictoryDll_x86.dll“ obsahuje upravený malware s nejrůznějšími schopnostmi, včetně možnosti:

– Mazat/vytvářet/přejmenovávat/číst/zapisovat soubory a získávat atributy souborů

– Získat informace o procesech a službách

– Získat snímky obrazovky

– Spustit příkazy pomocí cmd.exe

– Vytvořit/ukončit proces

– Získat TCP/UDP tabulky

– Získat informace o klíčích registru

– Získat informace o počítači oběti – jméno počítače, uživatelské jméno, adresa brány, údaje o adaptéru, verzi Windows a typ uživatele

– Vypnout počítač

Výzkumný tým Check Point Research se na základě získaných indicií domnívá, že jde o operaci čínské hackerské skupiny:

– C&C (řídící) servery komunikovaly pouze v době, která pravděpodobně odpovídá pracovní době v zemi útočníků, což zužuje možnosti.

– C&C servery nezasílaly žádné pokyny (ani v pracovní době) v období od 1. do 5. května, což jsou v Číně svátky práce.

– Některé testovací verze backdooru obsahovaly kontrolu internetového připojení s www.baidu.com, přední čínskou webovou stránkou.

– Exploit kit RoyalRoad RTF, který byl použit k vytvoření škodlivých dokumentů, je spojován především s čínskými APT skupinami.

– Některé testovací verze backdooru z roku 2018 byly nahrány na VirusTotal z Číny.

Útočníci také vynaložili značné úsilí, aby nedošlo k odhalení celé operace. Backdoor byl vyvíjen od roku 2017 a postupně byl rozdělen do několika fází, aby jej bylo co nejtěžší odhalit a analyzovat.

„Odhalili jsme nový backdoor pro systém Windows, tedy kybernetickou špionážní zbraň, kterou čínská hackerská skupina vyvíjela od roku 2017. Backdoor byl průběžně testován, upravován a vylepšován a jedná se o sofistikovanou hrozbu, která dokáže z infikovaného počítače krást obrovské množství dat. Útočníky navíc nezajímala pouze tvrdá data, ale v rámci špionáže také sledovali, co uživatelé na počítačích dělají. I když jsme zablokovali útoky na vládu v jihovýchodní Asie, je možné, že skupina používá novou špionážní zbraň i na další cíle po celém světě,“ uvedl Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point Software Technologies.

Zdroj: Check Point