Chińscy hakerzy zaatakowali instytucje rządowe dzięki nieznanemu wcześniej backdoorowi

4 czerwca, 2021

Chińska grupa hakerska APT opracowała i wykorzystała przeciwko rządowi jednego z azjatyckich państw nieznany wcześniej backdoor dla systemów Windows – ostrzega Check Point Research. Ukrywana przez trzy lata “tylna furtka” pozwalała na tworzenie zrzutów ekranu, edycję plików i uruchamianie poleceń na komputerach ofiar. Specjaliści przewidują, że podobne operacje mogą być kierowane również przeciwko innym krajom.

W dużym skrócie incydent można opisać w ten sposób, że po zainstalowaniu backdoora atakujący mogli zebrać dowolne informacje, a także wykonywać zrzuty ekranu i uruchamiać dodatkowe złośliwe oprogramowanie na komputerach osobistych ofiar.

Zdaniem analityków Check Pointa za atakiem stoi chińska grupa hakerska, która testowała i udoskonalała backdoora dla systemu Windows od co najmniej trzech lat.

Kampania hakerska rozpoczęła się od rozsyłania szkodliwych dokumentów (.docx) do różnych pracowników instytucji rządowej w Azji Południowo-Wschodniej. Wiadomości zostały sfałszowane tak, aby wyglądały, jakby zostały wysłane przez inne podmioty rządowe, jednak „uzbrojone załączniki” wykorzystywały technikę zdalnego szablonu w celu pobrania złośliwego kodu z serwera grupy atakującej. Tzw. „szablon zdalny” jest funkcją oprogramowania MS Office, która umożliwia pobranie szablonu dokumentu ze zdalnego serwera za każdym razem, gdy użytkownik otworzy dokument.

Przykład dokumentu-przynęty wysłanego do ofiar.
Przykład dokumentu-przynęty wysłanego do ofiar.

Na ostatnim etapie łańcucha infekcji złośliwy program miał pobrać, odszyfrować i załadować do pamięci plik DLL (Dynamic Link Library). Jak informuje Check Point Research, moduł backdoora wydaje się unikatowym, wykonanym na zamówienie złośliwym oprogramowaniem o wewnętrznej nazwie „VictoryDll_x86.dll”. Oferuje on m.in. możliwość odczytu i edycji plików, uzyskania informacji o procesach i usługach, pobierania zrzutów ekranu, odczytu i zapisu protokołów oraz uzyskania bliższych informacji o komputerach ofiar.

Schemat pelnego lancucha infekcji
Schemat pełnego łańcucha infekcji (Uwaga: Dynamic Link Library (DLL) to format pliku używany do przechowywania wielu kodów i procedur dla programów Windows).

Wszystkie dowody wskazują na to, że mamy do czynienia z wysoce zorganizowaną operacją, która miała pozostać niezauważona. Co kilka tygodni osoby atakujące wykorzystywały e-maile typu spear-phishing, połączone z uzbrojonymi wersjami dokumentów rządowych, aby spróbować stworzyć przyczółek w Ministerstwie Spraw Zagranicznych. Oznacza to, że napastnicy musieli najpierw zaatakować inny departament w zaatakowanym państwie, kradnąc i uzbrajając dokumenty do wykorzystania przeciwko Ministerstwu Spraw Zagranicznych.

Twierdzi Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Software.

Ostatecznie śledztwo doprowadziło do odkrycia nowego backdoora dla systemu Windows, którego chińska grupa zajmująca się zagrożeniami rozwija najprawdopodobniej od 2017 roku.

Backdoor był wielokrotnie modyfikowany w ciągu trzech lat, zanim został wykorzystywany na komputerach ofiar.

Eksperci zaznaczają, że napastników interesują nie tylko dane, ale także to, co w każdej chwili dzieje się na komputerze osobistym celu, co skutkuje tzw. „szpiegowaniem na żywo”. Chociaż firmie Check Point udało się zablokować opisaną operację, możliwe jest, że chińscy hakerzy używają swojej nowej broni cyberszpiegowskiej na innych celach na całym świecie.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]