Ataki hakerskie na Ujgurów. W tle wizerunek ONZ
Eksperci z Check Point Research oraz zespół ds. badan i analiz firmy Kaspersky wykryli trwającą kampanię hakerską wymierzoną w Ujgurów, czyli turecką grupę etniczną, zamieszkałą w Xinjiangu, Chinach oraz Pakistanie. Cyberprzestępcy mają wysyłać złośliwe dokumenty pod przykrywką Organizacji Narodów Zjednoczonych (ONZ) oraz fałszywej fundacji praw człowieka o nazwie „Turkic Culture and Heritage Foundation”
Współpraca dwóch grup eksperckich bezpieczeństwa cybernetycznego – Check Point Research oraz GReAT (Kaspersky), przyniosła efekt w postaci wykrycia szeroko zakrojonej kampanii hakerskiej skierowanej przeciwko Ujgurom, czyli tureckiej mniejszości zamieszkującej Chiny i Pakistan. Hakerzy stojący za cyberatakami wysyłają do swoich celów złośliwe dokumenty pod przykrywką Organizacji Narodów Zjednoczonych (ONZ) i oraz fałszywej fundacji walczącej o prawa człowieka, nakłaniając ich do zainstalowania backdoora dla systemu Microsoft Windows. Po jego instalacji atakujący mogą w pełni przejąć wszelkie dane dostępne na komputerach ofiar oraz wykorzystać je do przeprowadzania dalszych kampanii hakerskich.
Jak do tej pory nie udało się znaleźć podobieństw w kodach lub infrastrukturze do wcześniejszych działań jakiejkolwiek znanej grupy hakerskiej. Zdaniem ekspertów Check Pointa, istnieje jednak pewne prawdopodobieństwo, że za atakami stoją chińskojęzyczne grupy cyberprzestępcze. Badając złośliwe makra w zainfekowanych dokumentach, analitycy zauważyli, że niektóre fragmenty kodu były identyczne z kodem VBA, który pojawił się na wielu chińskich forach.
Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Research, uważa, że są wykryta kampania ma charakter cyberszpiegowski, której celem jest instalacja backdoora na komputerach najbardziej prominentnych przedstawicieli mniejszości ujgurskiej. – Zakładamy, że ujawnione ataki wciąż trwają, jednocześnie tworzona jest nowa infrastruktura pod przyszłe ataki. – wyjaśnia Finkelsteen.
Badacze zidentyfikowali dwa wektory infekcji, które wykorzystywane są w bieżącej kampanii. Są to złośliwe dokumenty wysyłane za pomocą poczty elektronicznej oraz witryna internetowa fałszywej fundacji Turkic Culture and Heritage Foundation, która rzekomo wspiera i finansuje inicjatywy na rzecz kultury i praw człowieka. W przypadku drugiego wektora odwiedzana strona zachęca do instalacji backdoora pod pretekstem pobrania „skaneru bezpieczeństwa”.
Czytaj też: Kampanie spamowe z Muskiem i bitcoinami
Mat.Pras./KG