Apburtā Panda
Pēdējo mēnešu laikā ir bijuši vairāki stāsti par kibernoziedzniekiem, kuri izmanto ļoti reālus koronavīrusa draudus, lai izplatītu ļaunprātīgu programmatūru un izspiedējprogrammatūru . Šie draudi ir izplatīti visā pasaulē, bet īpaši daudzi ir bijuši no Ķīnas. Tiktāl, ka valsts sponsorētā Ķīnas hakeru grupa Vicious Panda ir sākusi izplatīt savu ļaunprogrammatūru, izmantojot koronavīrusu.
Informācija par uzbrukumu nāk no Check Point, kas publicēja pētījumus, kas liecina, ka Ķīnas APT ir "ierocis" likumīgu informāciju par koronavīrusu, lai izplatītu savu ļaunprātīgo ļaunprātīgo programmatūru masām.
Satura rādītājs
Otrais uzbrukums
Vicious Panda uzbrukums faktiski ir otrā lielākā ar koronavīrusu (COVID-19) saistītā ļaunprogrammatūras kampaņa, kas pēdējo nedēļu laikā ir iznākusi no Ķīnas. Pirmais notika marta sākumā, kad Vjetnamas kiberdrošības grupa VinCSS pamanīja Mustang Panda uzbrukumu. Mustang Panda ir vēl viena Ķīnas valsts sponsorēta hakeru grupa.
Viņu uzbrukums bija pazīstams ar e-pasta ziņojumu izplatīšanu ar pievienotu RAR failu, kurā tika apgalvots, ka tajā bija Vjetnamas premjerministra ziņojums par koronavīrusu. Tā vietā, lai saturētu jebkāda veida svarīgu ziņojumu, RAR fails saturēja aizmugures trojas zirgu, kas instalējās upura datoros un atvēra tos uzlaušanas grupai.
Ļaunprātīgā panda uzbrūk Mongolijas valdībai
Vicious Panda uzbrukumu pamanīja Check Point, kurš teica, ka viņi seko līdzi grupai, jo tās bija vērstas pret Mongolijas valdības organizācijām. Tāpat kā pirmais uzbrukums, grupa apgalvoja, ka tai ir svarīga informācija par koronavīrusu, kuru lietotājiem vajadzētu lejupielādēt, lai piekļūtu.
Check Point spēja pārtvert "Ķīnas APT grupas" kiberuzbrukumu Mongolijas publiskā sektora vienībai. Uzbrukums sociālās inženierijas fāzē izmantoja bažas par koronavīrusu. Tajā bija divi dokumenti. Viens no dokumentiem bija saistīts ar Covid-19, un abi tie apgalvoja, ka ir no Mongolijas Ārlietu ministrijas. Dokumenti tika iesaiņoti ar unikālu ļaunprātīgas programmatūras draudu, kas ļāva attālināti piekļūt upura datoriem.
E-pasta pielikums — avots: research.checkpoint.com
Aisberga gals
Diemžēl šis jaunākais uzbrukums nav nekas jauns un ir tikai sakāmvārdu aisberga virsotne. Hakeri vienmēr ir izmantojuši šāda veida krīzes savā labā, tāpēc viņiem nebija nekādu iespēju pretoties COVID-19 sniegtajām priekšrocībām.
Saskaņā ar Check Point jaunākā Ķīnas APT dokumenta nosaukums bija “Par jaunu koronavīrusu infekciju izplatību”. Tajā citēta Ķīnas Nacionālā veselības komiteja, lai tā izskatītos autentiskāka un efektīvāka. Lai gan ir bijuši vairāki ar COVID-19 saistīti kiberdraudi, šķiet, ka šis ir pirmais, ko valsts sponsorēta hakeru grupa īsteno pret ārvalstu valdību.
Check Point ir ne tikai jaunākais ar koronavīrusu saistīto hakeru uzbrukumu sērijā, bet arī jaunākais uzbrukums notiekošajā Ķīnas hakeru kampaņā pret citām valdībām un organizācijām. Atšķirība ir tāda, ka šis koronavīruss izmantoja kā daļu no izvietošanas metodes.
Uzbrukums tika raksturots kā "sabiedrības intereses par koronavīrusu izmantošana [Ķīnas] darba kārtībā, izmantojot jaunu kiberinfekcijas ķēdi". Viņi saka, ka Vicious Panda ir vērsta uz valstīm visā pasaulē, ne tikai uz Mongoliju. Viņi mudina ikvienu publiskā sektora vienību un telekomunikāciju uzņēmumu būt modriem attiecībā uz iespējamiem kiberdraudiem, jo īpaši jebko, kas tiek apgalvots par koronavīrusu.
Tiek apgalvots, ka e-pasts un dokumenti nāk no pašas Mongolijas valdības. Vismaz viens no viņiem apgalvoja, ka nāk no ārlietu ministra. Kampaņa bija vērsta uz citām Mongolijas publiskā sektora daļām. Šķiet, ka kampaņas mērķis bija iegūt informāciju un ekrānuzņēmumus no valdības datoriem, rediģēt un dzēst failus un pārņemt šo datoru tālvadību.
Kā darbojas Vicious Panda Ransomware?
Ļaunprātīgais pielikums satur attālās piekļuves Trojas zirgu (RAT), kas var pārņemt kontroli pār datoriem. Trojas zirgs ir ieprogrammēts tā, lai tam būtu ierobežoti savienojumi ar komandu un vadības serveri, kas var apgrūtināt tā noteikšanu. Lietderīgās slodzes struktūra liecina, ka tajā varētu būt iekļauti citi moduļi, kurus plānots instalēt vēlāk kā daļu no lielākas kampaņas. Check Point var secināt, ka uzbrukumā izmantotā ļaunprogrammatūra ir pilnīgi unikāls un īpaši izstrādāts celms, taču tas, kā tā darbojas un ko tā dara, ir diezgan izplatīta parādība.
Apburtās pandu infekcijas ķēdes — avots: research.checkpoint.com
Check Point izjauca citas kampaņas daļas, piemēram, vietu, kur tika mitināts vadības un kontroles centrs. Tomēr galu galā šī ļaunprogrammatūra nav nekas cits kā valsts sponsorēta kampaņa. Tas izmanto sociālo inženieriju, lai mudinātu lietotājus lejupielādēt un atvērt pielikumu. Pielikums ielādē citu failu un instalē datora aizmugures durvis. Pēc tam Ķīna var izmantot šīs aizmugures durvis, lai izspiegotu valdības mērķus.
Cybercrooks turpinās izmantot Ķīnu un koronavīrusu
Lai gan augstākā līmeņa norādes nesniedz pietiekami daudz informācijas, lai precīzi noteiktu, kurš ir aiz uzbrukuma, Check Point iedziļinājās ļaunprogrammatūras kodā un atklāja, ka tas ir līdzīgs kodam, ko izmanto citās ar Ķīnu saistītās ļaunprogrammatūrā. Šīs kampaņas bija vērstas arī pret Ķīnas ienaidniekiem.
Ķīna – koronavīrusa epicentrs – izmanto vīrusu savā labā daudzās maldinošās metodēs. Nav pārsteidzoši, ka viņi tomēr izmantotu koronavīrusu, jo pašlaik tas ir labākais sociālās inženierijas rīks, kas pieejams draudu dalībniekiem. Pat parastie kibernoziedznieki to izmanto savās kampaņās.
