Chińscy hakerzy atakowali polityków
Politycy oraz administracja rządowa kilku krajów Azji i Pacyfiku stała się obiektem szpiegowania przez chińską grupę hakerską APT.
Już w 2015 roku grupa o nazwie Naikon, prowadziła ataki na agencje rządowe najwyższego szczebla i powiązane organizacje w krajach Morza Południowochińskiego. Grupa szybko jednak zniknęła. W maju 2020 roku znów pojawiła się na mapie szpiegowskiej w cyberprzestrzeni i okazuje się, że była aktyna przez okres ostatnich 5 lat.
Ostatnie pięć lat Naikon spędził spokojnie - w ukryciu - rozwijając swoje umiejętności i wprowadzając nową cyberbroń w postaci backdoora Aria-body. Aby uniknąć wykrycia, wykorzystywali exploity przypisane wielu grupom APT oraz wykorzystali serwery swoich ofiar jako centra dowodzenia i kontroli’ - mówi Lotem Finkelsteen, kierownik wywiadu zagrożeń w Check Point.
Podstawową metodą ataku Naikon jest infiltracja danego organu rządowego, a następnie wykorzystanie kontaktów, dokumentów oraz innych danych organów administracji publicznej do przeprowadzania ataków na kolejne kraje, wykorzystując zaufanie oraz dobre stosunki dyplomatyczne między departamentami i rządami. Naikon stale atakował kraje z tego samego regionu geograficznego (APAC), w tym Australię, Indonezję, Filipiny, Wietnam, Tajlandię, Birmę i Brunei. Grupa w szczególności kierowała ataki na ministerstwa spraw zagranicznych, nauki i techniki, a także firmy będące własnością rządu. Uważa się, że głównym motywem było gromadzenie danych geopolitycznych.
Czy Polska w sferze zainteresowania?
W Polsce jak do tej pory nie ujawniono podobnych działań cyberszpiegowskich, co nie oznacza, że ich nie ma. Już w 2012 roku hakerzy zaatakowali rządowe serwery w ramach protestu przeciw ratyfikacji międzynarodowej umowy handlowej dotyczącej zwalczania obrotu towarami podrabianymi, znanej bardziej jako ACTA. W 2016 r. nacjonalistyczne ugrupowanie „Prawy Sektor” dokonało ataku, który zaowocował wyciekiem części poufnych danych z sieci Ministerstwa Obrony Narodowej. W 2019 r. niepokojącym incydentem było włamanie wietnamskich hakerów na serwery NBP. Jak ujawnił portal Zaufana Trzecia Strona, hakerzy wykorzystali podatność ASPX RCE, a cały atak wietnamskiej grupy miał zostać przeprowadzony jedynie „w celach rozrywkowych”.
Eksperci firmy Check Point wpadli na ślad działalności szpiegowskiej Naikon dosyć przypadkowo, podczas badania przykładowego złośliwego e-maila z zainfekowanym dokumentem, który został wysłany z ambasady jednego z krajów APAC do organów rządowych Australii. Dokument zawierał exploit, który po otwarciu infiltrował komputer użytkownika i próbował pobrać wyrafinowane złośliwe oprogramowanie typu backdoor o nazwie „Aria-body”. Program pobierany był z zewnętrznych serwerów sieciowych używanych przez grupę Naikon i pozwalał na uzyskanie zdalnego dostępu do zainfekowanego komputera lub sieci, omijając środki bezpieczeństwa.
Naikon próbował zaatakować jednego z naszych klientów podszywając się pod zagraniczny rząd – właśnie wtedy organizacja wróciła na nasz radar po pięcioletnim ukryciu i postanowiliśmy to zbadać. Nasze badania wykazały, że Naikon jest wysoce zmotywowaną i wyrafinowaną chińską grupą APT. To, co je napędza, to chęć gromadzenia danych wywiadowczych i szpiegowskich na temat poszczególnych krajów – dodaje Lotem Finkelsteen.
Czytaj też: Rosyjski oficer stał za atakiem hakerskim na Bundestag
KG/Mat.Pras.