Czy zmasowany cyberatak na Chiny jest odwetem „za koronawirusa”?

6 kwietnia, 2020

Zapoczątkowana epidemia w Chinach jest uważana przez pewnych ludzi na celową akcję testowania broni biologicznej. Na pewno z powodu koronawirusa Chiny na szeroką skalę zostały zaatakowane przez hakerów, jednak motywy hakerów nie są oczywiste. Wiadomo za to, że od marca br. przejęto ponad 200 serwerów chińskich instytucji.

Firma Qihoo 360 wykryła ukierunkowany atak na chińskich urzędników za pośrednictwem zhackowanego dostawcy usługi VPN, akredytowanego przez władze. Atak został oficjalnie potwierdzony i przypisany grupie Darkhotel (APT-C-06).

To nie pierwszy raz, kiedy grupa Darkhotel atakuje Chiny. Wcześniej Qihoo 360 namierzyło dwa exploity 0-day (CVE-2019-17026 i CVE-2020-0674), które były wykorzystywane do atakowania chińskiego rządu po zakończeniu przez Microsoft wsparcia dla Windows 7.

Analiza ekspertów wykazała, że do ofiar cyberataków zalicza się chińskie agencje w Afganistanie, Armenii, Etiopii, Indiach, Indonezji, Iranie, Izraelu, Włoszech, Kirgistanie, Malezji, Korei Północnej, Pakistanie, Arabii Saudyjskiej, Tadżykistanie, Tajlandii, Turcji, Zjednoczonych Emiratach Arabskich, Wielkiej Brytanii i Wietnamie, oraz w Pekinie i Szanghaju.

Sangfor – dostawca VPN został zhackowany.

Dostawca usługi VPN Sangfor został zhackowany

Wielokrotnie przytaczaliśmy przykłady, że do usług VPN należy podchodzić z ograniczonym zaufaniem. Podobnie zresztą jak do komunikatorów. W tym przypadku chińskie placówki nie korzystały z zewnętrznej infrastruktury dostawcy oprogramowania, ale indywidualnie, z własnej.

W jaki sposób hakerzy dostali się do sieci kilkuset placówek? Przejęli kontrolę nad procesem aktualizacji oprogramowania.

Po lewej stronie znajduje się certyfikat wystawiony dla szkodliwej aplikacji. Po prawej jest legalne oprogramowanie.

Przejęcie kontroli nad łańcuchem aktualizacji przebiegało mniej więcej tak:

1. Hakerzy wykorzystali lukę 0-day i podmienili program dostarczany przez producenta. Była to wersja jeszcze z 2014 roku, która nie była bezpieczna — piszą eksperci z Qihoo 360.

2. Instytucje instalują obsługę VPN na serwerach. Tworzą konta użytkowników. Przyznają im loginy i hasła. Pracownicy logują się do aplikacji firmowych z wykorzystaniem VPN.

3. Oprogramowanie klienckie na komputerach pracowników aktualizuje się do zbackdoorowanej wersji. Wirus pobiera dodatkowe komponenty.

Grupa hakerów od marca 2020 roku ma w szachu wszystkie firmy, które korzystają z oprogramowania Sangfor. Badacze przypisali atak grupie Darkhotel, która już wcześniej prowadziła szpiegowskie kampanie w Chinach, Korei Północnej, Japonii i Stanach Zjednoczonych. DarkHotel został po raz pierwszy zidentyfikowany w 2014 roku przez badaczy z Kaspersky, którzy wówczas podali do informacji, że grupa mogła być aktywna od co najmniej 2007 roku.

Przestępcom z Darkhotel przypisuje się najnowsze ataki na dyplomatów i dyrektorów korporacyjnych za pośrednictwem sieci Wi-Fi w luksusowych hotelach. Dodatkowo jeszcze w tym roku hakerzy za pomocą złośliwych dokumentów Office i przy użyciu luki 0-day w Internet Explorerze atakowali pracowników Światowej Organizacji Zdrowia (WHO). Zdaniem ekspertów szukano informacji o prowadzonych testach, szczepionkach lub lekach próbnych.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]