Panda viciós
En els últims mesos hi ha hagut diverses històries de ciberdelinqüents que utilitzen l'amenaça real del Coronavirus per difondre programari maliciós i ransomware . Aquestes amenaces s'han propagat per tot el món, però n'hi ha hagut moltes sortint de la Xina en particular. Fins al punt que el grup de pirateria xinès Vicious Panda, patrocinat per l'estat, ha començat a difondre el seu propi programari maliciós a través del coronavirus.
La informació sobre l'atac prové de Check Point, que va publicar una investigació que mostrava que un APT xinès ha "armat" informació legítima sobre el coronavirus per difondre el seu programari maliciós a les masses.
Taula de continguts
El segon atac
L'atac de Vicious Panda és en realitat la segona campanya important de programari maliciós relacionat amb el Coronavirus (COVID-19) que ha sortit de la Xina en les últimes setmanes. El primer va passar a principis de març quan el grup vietnamita de ciberseguretat VinCSS va notar un atac del Mustang Panda. Mustang Panda és un altre grup de pirateria xinès patrocinat per l'estat.
El seu atac era conegut per distribuir correus electrònics amb un fitxer RAR adjunt que afirmava contenir un missatge del primer ministre vietnamita sobre el coronavirus. En lloc de contenir cap tipus de missatge important, el fitxer RAR contenia un troià de la porta del darrere que s'instal·lava als ordinadors de la víctima i els obria al grup de pirateria.
Vicious Panda ataca el govern mongol
L'atac de Vicious Panda va ser detectat per Check Point, que va dir que estaven vigilant el grup, ja que estaven dirigits a organitzacions governamentals mongols. Igual que el primer atac, el grup va afirmar tenir informació vital sobre el coronavirus que els usuaris haurien de descarregar per accedir.
Check Point va poder interceptar un ciberatac d'un "grup APT xinès a una entitat del sector públic de Mongòlia". L'atac va aprofitar les pors del coronavirus durant la fase d'enginyeria social. Contenia dos documents. Un dels documents estava relacionat amb la COVID-19 i tots dos afirmaven ser del Ministeri d'Afers Exteriors de Mongòlia. Els documents venien empaquetats amb una amenaça de programari maliciós única que permetia l'accés remot als ordinadors de la víctima.
Adjunt de correu electrònic - Font: research.checkpoint.com
La punta de l'iceberg
Malauradament, aquest darrer atac no és cap novetat i només representa la punta del proverbial iceberg. Els pirates informàtics sempre han utilitzat aquest tipus de crisis al seu avantatge, de manera que no hi havia manera que poguessin resistir-se a aprofitar-se de la COVID-19.
Segons Check Point, l'últim document de l'APT xinès es titulava "Sobre la propagació de noves infeccions per coronavirus". Cita el Comitè Nacional de Salut de la Xina per semblar més autèntic i ser més efectiu. Tot i que hi ha hagut una sèrie d'amenaces cibernètiques relacionades amb la COVID-19, aquesta sembla ser la primera realitzada per un grup de pirateria patrocinat per l'estat contra un govern estranger.
A més de ser l'últim d'una sèrie d'atacs de pirateria relacionats amb el coronavirus, Check Point diu que l'atac és només l'últim d'una campanya en curs de pirates informàtics xinesos contra altres governs i organitzacions. La diferència és que aquest va aprofitar el coronavirus com a part del mètode de desplegament.
L'atac es va descriure com "aprofitar l'interès públic pel coronavirus per a la pròpia agenda [de la Xina] mitjançant una nova cadena d'infeccions cibernètiques". Diuen que Vicious Panda s'apunta a països d'arreu del món, no només a Mongòlia. Insten a totes les entitats del sector públic i les empreses de telecomunicacions a estar alerta davant de possibles amenaces cibernètiques, especialment qualsevol cosa que digui tractar sobre el coronavirus.
El correu electrònic i els documents afirmen que provenen del propi govern de Mongòlia. Almenys un d'ells va afirmar que venia del ministre d'Afers Exteriors. La campanya es va dirigir a altres parts del sector públic mongol. L'objectiu de la campanya semblava ser agafar informació i captures de pantalla d'ordinadors governamentals, editar i suprimir fitxers i prendre el control remot d'aquests ordinadors.
Com funciona el ransomware Vicious Panda?
El fitxer adjunt maliciós conté un troià d'accés remot (RAT) que pot prendre el control dels ordinadors. El troià està programat per tenir connexions limitades al servidor d'ordres i control, cosa que pot fer que sigui més difícil de detectar. L'estructura de la càrrega útil suggereix que podria incloure altres mòduls que estan programats per a la instal·lació més endavant com a part d'una campanya més gran. Pel que pot dir Check Point, el programari maliciós utilitzat en l'atac és una soca completament única i dissenyada a mida, però exactament com funciona, i què fa, és bastant habitual.
Vicious Panda Infection Chains - Font: research.checkpoint.com
Check Point va desglossar altres parts de la campanya, com ara on estava allotjat el centre de comandament i control. Al cap i a la fi, però, aquest programari maliciós no és més que una campanya patrocinada per l'estat. Utilitza l'enginyeria social per animar els usuaris a descarregar i obrir un fitxer adjunt. El fitxer adjunt carrega un altre fitxer i instal·la una porta posterior a l'ordinador. Aleshores, la Xina pot explotar aquesta porta del darrere per espiar objectius governamentals.
Els ciberdelinqüents continuaran aprofitant la Xina i el coronavirus
Tot i que els indicadors de nivell superior no ofereixen prou informació per identificar exactament qui hi ha darrere de l'atac, Check Point va investigar el codi de programari maliciós i va trobar que era similar al codi utilitzat en altres programes maliciosos relacionats amb la Xina. Aquelles campanyes també estaven dirigides als enemics de la Xina.
La Xina, l'epicentre del coronavirus, està utilitzant el virus al seu propi avantatge amb molts mètodes enganyosos. No és d'estranyar que utilitzin el coronavirus, ja que actualment és la millor eina d'enginyeria social disponible per als actors d'amenaça. Fins i tot els ciberdelinqüents habituals ho estan aprofitant a les seves pròpies campanyes.
