Vihainen Panda
Viime kuukausina on ollut useita tarinoita verkkorikollisista, jotka ovat käyttäneet todellista koronaviruksen uhkaa levittääkseen haittaohjelmia ja kiristysohjelmia . Näitä uhkia on levitetty kaikkialla maailmassa, mutta niitä on tullut useita erityisesti Kiinasta. Siihen pisteeseen, että valtion tukema kiinalainen hakkerointiryhmä Vicious Panda on alkanut levittää omia haittaohjelmiaan koronaviruksen kautta.
Tieto hyökkäyksestä on peräisin Check Pointilta, joka julkaisi tutkimuksen, jonka mukaan kiinalainen APT on "aseistanut" laillista tietoa koronaviruksesta levittääkseen haittaohjelmiaan massoille.
Sisällysluettelo
Toinen hyökkäys
Vicious Panda -hyökkäys on itse asiassa toinen suuri koronavirukseen (COVID-19) liittyvä haittaohjelmakampanja, joka on julkaistu Kiinasta muutaman viime viikon aikana. Ensimmäinen tapahtui maaliskuun alussa, kun vietnamilainen kyberturvallisuusryhmä VinCSS huomasi Mustang Pandan hyökkäyksen. Mustang Panda on toinen Kiinan valtion tukema hakkerointiryhmä.
Heidän hyökkäyksensä tunnettiin sähköpostien jakamisesta, joissa oli liitteenä RAR-tiedosto, joka väitti sisältävän Vietnamin pääministerin viestin koronaviruksesta. Sen sijaan, että se sisältäisi minkäänlaista tärkeää viestiä, RAR-tiedosto sisälsi takaoven troijalaisen, joka asensi itsensä uhrin tietokoneille ja avasi ne hakkerointiryhmälle.
Vihainen Panda hyökkää Mongolian hallitukseen
Vicious Panda -hyökkäyksen havaitsi Check Point, joka sanoi pitävänsä ryhmää silmällä, koska ne olivat kohteena Mongolian hallitusorganisaatioita. Ensimmäisen hyökkäyksen tapaan ryhmä väitti saaneensa tärkeää tietoa koronaviruksesta, joka käyttäjien tulisi ladata päästäkseen käsiksi.
Check Point onnistui sieppaamaan "kiinalaisen APT-ryhmän Mongolian julkisen sektorin yksikköä vastaan" tekemän kyberhyökkäyksen. Hyökkäys hyödynsi koronaviruksen pelkoa sosiaalisen suunnitteluvaiheen aikana. Se sisälsi kaksi asiakirjaa. Yksi asiakirjoista liittyi COVID-19:ään ja molemmat väittivät olevan peräisin Mongolian ulkoministeriöstä. Asiakirjat toimitettiin pakattuna ainutlaatuisella haittaohjelmauhkalla, joka mahdollisti uhrin tietokoneiden etäkäytön.
Sähköpostin liite - Lähde: research.checkpoint.com
Jäävuoren huippu
Valitettavasti tämä uusin hyökkäys ei ole mitään uutta, ja se edustaa vain sananlaskun jäävuoren huippua. Hakkerit ovat aina käyttäneet tällaisia kriisejä hyväkseen, joten he eivät millään olisi kyenneet vastustamaan COVID-19:n hyödyntämistä.
Viimeisin kiinalainen APT-asiakirja oli Check Pointin mukaan nimeltään "Uusien koronavirusinfektioiden leviäminen". Se lainaa Kiinan kansallista terveyskomiteaa näyttääkseen autenttisemmalta ja tehokkaammalta. Vaikka COVID-19:aan on liittynyt useita kyberuhkia, tämä näyttää olevan ensimmäinen valtion tukema hakkerointiryhmä ulkomaista hallitusta vastaan.
Sen lisäksi, että se on viimeisin koronavirukseen liittyvien hakkerointihyökkäysten sarjassa, Check Point sanoo, että hyökkäys on vain uusin kiinalaisten hakkerien käynnissä olevassa kampanjassa muita hallituksia ja organisaatioita vastaan. Erona on, että tämä hyödynsi koronavirusta osana käyttöönottomenetelmää.
Hyökkäystä kuvailtiin "yleisen koronaviruksen kiinnostuksen hyväksikäytön [Kiinan] omalle asialistalle uuden kyberinfektioketjun kautta". He sanovat, että Vicious Panda on suunnattu maihin ympäri maailmaa – ei vain Mongoliaan. He kehottavat kaikkia julkisen sektorin tahoja ja puhelinyhtiöitä olemaan valppaana mahdollisten kyberuhkien suhteen, erityisesti kaiken, mikä väittää liittyvän koronavirukseen.
Sähköposti ja asiakirjat väittävät tulevan Mongolian omalta hallitukselta. Ainakin yksi heistä väitti olevansa ulkoministeri. Kampanja kohdistui Mongolian julkisen sektorin muihin osiin. Kampanjan tavoitteena näytti olevan tiedon ja kuvakaappausten kerääminen valtion tietokoneilta, tiedostojen muokkaaminen ja poistaminen sekä näiden tietokoneiden etähallinta.
Kuinka Vicious Panda Ransomware toimii?
Haitallinen liite sisältää etäkäyttötroijalaisen (RAT), joka voi hallita tietokoneita. Troijalainen on ohjelmoitu rajoittamaan yhteyksiä komento- ja ohjauspalvelimeen, mikä voi vaikeuttaa sen havaitsemista. Hyötykuorman rakenne viittaa siihen, että se voisi sisältää muita moduuleja, jotka on suunniteltu asennettavaksi myöhemmin osana suurempaa kampanjaa. Check Pointin perusteella hyökkäyksessä käytetty haittaohjelma on täysin ainutlaatuinen ja räätälöity kanta, mutta sen tarkat toimintatavat – ja mitä se tekee – ovat melko yleisiä.
Vicious Panda Infection Chains - Lähde: research.checkpoint.com
Check Point rikkoi kampanjan muita osia, kuten komento- ja ohjauskeskuksen isännöinnin. Loppujen lopuksi tämä haittaohjelma on kuitenkin vain valtion tukema kampanja. Se käyttää sosiaalista manipulointia kannustaakseen käyttäjiä lataamaan ja avaamaan liitteen. Liite lataa toisen tiedoston ja asentaa takaoven tietokoneeseen. Kiina voi sitten hyödyntää tätä takaovea vakoillakseen hallituksen tavoitteita.
Cybercrooks jatkaa Kiinan ja koronaviruksen hyödyntämistä
Vaikka huipputason opasteet eivät tarjoa tarpeeksi tietoa hyökkäyksen takana olevan tarkan selvittämiseen, Check Point kaivautui haittaohjelmakoodiin ja havaitsi, että se oli samanlainen kuin muissa Kiinaan liittyvissä haittaohjelmissa käytetty koodi. Kampanjat kohdistuivat myös Kiinan vihollisiin.
Kiina – koronaviruksen keskus – käyttää virusta omaksi hyödykseen monissa petollisissa menetelmissä. Ei ole yllättävää, että he kuitenkin käyttäisivät koronavirusta, sillä se on tällä hetkellä paras sosiaalisen suunnittelun työkalu uhkatoimijoille. Jopa tavalliset kyberrikolliset hyödyntävät sitä omissa kampanjoissaan.
