Opaka panda
Posljednjih mjeseci bilo je nekoliko priča o cyber kriminalcima koji koriste vrlo stvarnu prijetnju koronavirusa za širenje zlonamjernog softvera i ransomwarea . Te su prijetnje propagirane po cijelom svijetu, ali ih je bilo puno iz Kine. Do te mjere da je kineska hakerska grupa Vicious Panda koju sponzorira država počela širiti vlastiti zlonamjerni softver putem koronavirusa.
Informacije o napadu dolaze od Check Pointa, koji je objavio istraživanje koje pokazuje da je kineski APT "naoružao" legitimne informacije o koronavirusu kako bi širio svoj zlonamjerni zlonamjerni softver u mase.
Sadržaj
Drugi napad
Napad Vicious Panda zapravo je druga velika kampanja zlonamjernog softvera povezana s koronavirusom (COVID-19) koja je izašla iz Kine u posljednjih nekoliko tjedana. Prvi se dogodio početkom ožujka kada je vijetnamska skupina za kibernetičku sigurnost VinCSS primijetila napad Mustang Pande. Mustang Panda je još jedna hakerska grupa koju sponzorira kineska država.
Njihov napad bio je poznat po distribuciji e-pošte s priloženom RAR datotekom za koju se tvrdilo da sadrži poruku vijetnamskog premijera o koronavirusu. Umjesto da sadržava bilo kakvu važnu poruku, RAR datoteka je sadržavala backdoor trojanca koji se sam instalirao na računala žrtve i otvorio ih hakerskoj skupini.
Opaka panda napala mongolsku vladu
Napad Vicious Panda uočio je Check Point, koji je rekao da prate grupu jer su bile na meti mongolskih vladinih organizacija. Kao i prvi napad, grupa je tvrdila da ima vitalne informacije o koronavirusu koje bi korisnici trebali preuzeti kako bi im mogli pristupiti.
Check Point je uspio presresti cyber napad "kineske APT grupe na entitet javnog sektora u Mongoliji". Napad je utjecao na strah od koronavirusa tijekom faze društvenog inženjeringa. Sadržavao je dva dokumenta. Jedan od dokumenata odnosio se na COVID-19 i za oba se tvrdilo da su iz mongolskog Ministarstva vanjskih poslova. Dokumenti su bili pakirani s jedinstvenom prijetnjom zlonamjernog softvera koja je omogućila daljinski pristup računalima žrtve.
Privitak e-pošte – Izvor: research.checkpoint.com
Vrh ledenog brijega
Nažalost, ovaj najnoviji napad nije ništa novo i samo je vrh poslovične sante leda. Hakeri su oduvijek koristili ovakve krize u svoju korist, tako da se nikako ne bi mogli oduprijeti iskorištavanju COVID-19.
Najnoviji kineski APT dokument bio je, prema Check Pointu, naslovljen 'O širenju novih infekcija koronavirusom'. Poziva se na Nacionalni zdravstveni odbor Kine kako bi izgledao vjerodostojniji i bio učinkovitiji. Iako je postojao niz cyber prijetnji povezanih s COVID-19, čini se da je ovo prva hakerska skupina koju je sponzorirala država protiv strane vlade.
Osim što je posljednji u nizu hakerskih napada povezanih s koronavirusom, Check Point kaže da je napad samo posljednji u tekućoj kampanji kineskih hakera protiv drugih vlada i organizacija. Razlika je u tome što je ovaj koristio koronavirus kao dio metode implementacije.
Napad je opisan kao "iskorištavanje javnog interesa za koronavirus za vlastitu agendu [Kine] kroz novi lanac kibernetičke infekcije". Kažu da Vicious Panda cilja na zemlje diljem svijeta - ne samo na Mongoliju. Pozivaju sve subjekte javnog sektora i telekomunikacione kompanije da budu na oprezu zbog potencijalnih kibernetičkih prijetnji, posebice svega što se tvrdi da je povezano s koronavirusom.
E-mail i dokumenti tvrde da dolaze iz vlastite vlade Mongolije. Najmanje jedan od njih tvrdio je da dolazi od ministra vanjskih poslova. Kampanja je bila usmjerena na druge dijelove mongolskog javnog sektora. Činilo se da je cilj kampanje hvatanje informacija i snimaka zaslona s državnih računala, uređivanje i brisanje datoteka te preuzimanje daljinskog upravljanja tim računalima.
Kako radi Vicious Panda Ransomware?
Zlonamjerni privitak sadrži trojanac za daljinski pristup (RAT) koji može preuzeti kontrolu nad računalima. Trojanac je programiran da ima ograničene veze s poslužiteljem za zapovijedanje i upravljanje, što može otežati otkrivanje. Struktura korisnog opterećenja sugerira da bi mogao uključivati druge module koji su planirani za kasniju instalaciju kao dio veće kampanje. Prema onome što Check Point može zaključiti, zlonamjerni softver koji se koristi u napadu potpuno je jedinstven i posebno dizajniran soj, ali točno kako radi – i što radi – prilično je uobičajeno.
Vicious Panda Infection Chains – Izvor: research.checkpoint.com
Check Point je razbio druge dijelove kampanje, kao što je mjesto gdje je bio smješten zapovjedni i kontrolni centar. No, na kraju krajeva, ovaj zlonamjerni softver nije ništa drugo nego kampanja koju sponzorira država. Koristi društveni inženjering kako bi potaknuo korisnike da preuzmu i otvore privitak. Privitak učitava drugu datoteku i instalira backdoor na računalo. Kina tada može iskoristiti taj backdoor za špijuniranje vladinih ciljeva.
Cyberlopovi će i dalje utjecati na Kinu i koronavirus
Dok putokazi najviše razine ne nude dovoljno informacija kako bi točno odredili tko stoji iza napada, Check Point je iskopao kod zlonamjernog softvera i otkrio da je sličan kodu koji se koristi u drugim zlonamjernim softverima povezanim s Kinom. Te su kampanje također bile usmjerene na neprijatelje Kine.
Kina – epicentar koronavirusa – koristi virus u vlastitu korist u mnogim obmanjujućim metodama. Ipak, nije iznenađujuće da bi upotrijebili koronavirus, jer je to trenutno najbolji alat društvenog inženjeringa koji je dostupan akterima prijetnji. Čak ga i obični cyber kriminalci koriste u svojim kampanjama.
