Kuri panda
Viimastel kuudel on olnud mitu lugu sellest, kuidas küberkurjategijad kasutavad pahavara ja lunavara levitamiseks väga reaalset koroonaviiruse ohtu . Neid ohte on levitatud kogu maailmas, kuid eriti palju on neid tulnud välja Hiinast. Kuni selleni, et riiklikult toetatud Hiina häkkimisrühmitus Vicious Panda on hakanud koroonaviiruse kaudu levitama omaenda pahavara.
Teave rünnaku kohta pärineb Check Pointilt, kes avaldas uuringu, mis näitab, et Hiina APT on "relvastanud" seaduslikku teavet koronaviiruse kohta, et levitada oma pahatahtlikku pahavara massidesse.
Sisukord
Teine rünnak
Vicious Panda rünnak on tegelikult teine suurem koroonaviirusega (COVID-19) seotud pahavarakampaania, mis on viimastel nädalatel Hiinast välja tulnud. Esimene juhtus märtsi alguses, kui Vietnami küberjulgeolekurühm VinCSS märkas Mustang Panda rünnakut. Mustang Panda on veel üks Hiina riiklikult toetatav häkkimisrühm.
Nende rünnak oli tuntud selle poolest, et levitati e-kirju koos lisatud RAR-failiga, mis väidetavalt sisaldasid Vietnami peaministri sõnumit koroonaviiruse kohta. Selle asemel, et sisaldada mis tahes olulist sõnumit, sisaldas RAR-fail tagaukse troojalast, mis installis end ohvri arvutitesse ja avas need häkkimisrühmale.
Vihane panda ründab Mongoolia valitsust
Vicious Panda rünnakut märkas Check Point, kelle sõnul jälgisid nad rühmitust, kuna need olid suunatud Mongoolia valitsusorganisatsioonidele. Nagu esimene rünnak, väitis rühm, et neil on koronaviiruse kohta oluline teave, mille kasutajad peaksid juurdepääsu saamiseks alla laadima.
Check Point suutis kinni pidada "Hiina APT grupi Mongoolia avaliku sektori üksuse vastu suunatud küberrünnaku". Rünnak võimendas koroonaviiruse hirme sotsiaalse manipuleerimise etapis. See sisaldas kahte dokumenti. Üks dokumentidest oli seotud COVID-19-ga ja mõlemad väitsid olevat pärit Mongoolia välisministeeriumist. Dokumendid olid pakitud ainulaadse pahavara ohuga, mis võimaldas ohvri arvutitele kaugjuurdepääsu.
Meilimanus – Allikas: research.checkpoint.com
Jäämäe tipp
Kahjuks pole see viimane rünnak midagi uut ja kujutab endast lihtsalt vanasõna jäämäe tippu. Häkkerid on selliseid kriise alati enda huvides kasutanud, nii et nad ei suutnud kuidagi COVID-19 ära kasutada.
Viimane Hiina APT dokument kandis Check Pointi andmetel pealkirja "Uute koroonaviiruse nakkuste leviku kohta". See viitab Hiina riiklikule tervisekomiteele, et näida autentsem ja tõhusam. Kuigi COVID-19-ga on seotud mitmeid küberohte, näib see olevat esimene, mille korraldas riigi toetatud häkkimisrühmitus välisriigi valitsuse vastu.
Lisaks sellele, et see on viimane koroonaviirusega seotud häkkimisrünnakute seerias, on Check Pointi sõnul rünnak kõige viimane Hiina häkkerite käimasolevas kampaanias teiste valitsuste ja organisatsioonide vastu. Erinevus seisneb selles, et see kasutas juurutusmeetodi osana koroonaviirust.
Rünnakut kirjeldati kui "avaliku huvi ärakasutamist koroonaviiruse vastu [Hiina] enda tegevuskavas uudse kübernakkusahela kaudu". Nad ütlevad, et Vicious Panda sihib riike üle kogu maailma – mitte ainult Mongooliat. Nad kutsuvad kõiki avaliku sektori üksusi ja telcosid üles olema potentsiaalsete küberohtude suhtes valvel, eriti kõigega, mis väidetavalt puudutab koroonaviirust.
Meilid ja dokumendid väidetavalt pärinevad Mongoolia valitsusest. Vähemalt üks neist väitis, et pärines välisministrilt. Kampaania oli suunatud Mongoolia avaliku sektori teistele osadele. Kampaania eesmärk näis olevat riigiarvutitest teabe ja ekraanipiltide hankimine, failide redigeerimine ja kustutamine ning nende arvutite kaugjuhtimine.
Kuidas Vicious Panda lunavara töötab?
Pahatahtlik manus sisaldab kaugjuurdepääsu troojalast (RAT), mis suudab arvutite üle kontrolli haarata. Troojal on programmeeritud piiratud ühendused käsu- ja juhtimisserveriga, mis võib muuta selle tuvastamise keerulisemaks. Kasuliku koormuse struktuur viitab sellele, et see võib sisaldada muid mooduleid, mis on plaanitud hiljem suurema kampaania osana installida. Check Pointi põhjal võib öelda, et ründes kasutatud pahavara on täiesti ainulaadne ja eritellimusel loodud tüvi, kuid see, kuidas see täpselt töötab – ja mida see teeb – on üsna levinud.
Vicious Panda Infection Chains – Allikas: research.checkpoint.com
Check Point rikkus kampaania muud osad, näiteks juhtimis- ja juhtimiskeskuse asukoha. Lõppkokkuvõttes pole see pahavara aga midagi muud kui riiklikult toetatud kampaania. See kasutab sotsiaalset manipuleerimist, et julgustada kasutajaid manuseid alla laadima ja avama. Manus laadib teise faili ja installib arvutisse tagaukse. Hiina saab seejärel seda tagaust ära kasutada valitsuse sihtmärkide järele luuramiseks.
Cybercrooks jätkab Hiina ja koroonaviiruse võimendamist
Kuigi tipptasemel viidad ei paku piisavalt teavet, et täpselt kindlaks teha, kes rünnaku taga on, uuris Check Point pahavara koodi ja leidis, et see sarnaneb muu Hiinaga seotud pahavara koodiga. Need kampaaniad olid suunatud ka Hiina vaenlastele.
Hiina – koroonaviiruse epitsenter – kasutab viirust enda huvides ära paljudes petlikes meetodites. Pole üllatav, et nad koroonaviirust siiski kasutaksid, kuna see on praegu parim ohus osalejatele saadaolev sotsiaalse manipuleerimise tööriist. Isegi tavalised küberkurjategijad kasutavad seda oma kampaaniates.
