Okrutna Panda
W ostatnich miesiącach pojawiło się kilka historii o cyberprzestępcach wykorzystujących bardzo realne zagrożenie ze strony koronawirusa do rozprzestrzeniania złośliwego oprogramowania i oprogramowania ransomware . Zagrożenia te rozprzestrzeniły się na całym świecie, ale w szczególności pojawiło się wiele z Chin. Do tego stopnia, że sponsorowana przez państwo chińska grupa hakerów Vicious Panda zaczęła rozprzestrzeniać własne złośliwe oprogramowanie za pośrednictwem koronawirusa.
Informacje o ataku pochodzą od firmy Check Point, która opublikowała badania pokazujące, że chiński APT „uzbroił” legalne informacje o koronawirusie, aby rozprzestrzeniać swoje złośliwe oprogramowanie wśród mas.
Spis treści
Drugi atak
Atak Vicious Panda jest w rzeczywistości drugą poważną kampanią złośliwego oprogramowania związaną z koronawirusem (COVID-19), która wyszła z Chin w ciągu ostatnich kilku tygodni. Pierwsza miała miejsce na początku marca, kiedy wietnamska grupa zajmująca się cyberbezpieczeństwem VinCSS zauważyła atak Mustanga Pandy. Mustang Panda to kolejna chińska grupa hakerska sponsorowana przez państwo.
Ich atak był znany z rozpowszechniania e-maili z załączonym plikiem RAR, który twierdził, że zawiera wiadomość od wietnamskiego premiera na temat koronawirusa. Zamiast zawierać jakąkolwiek ważną wiadomość, plik RAR zawierał trojana typu backdoor, który instalował się na komputerach ofiary i otwierał je grupie hakerskiej.
Okrutna Panda atakuje mongolski rząd
Atak Vicious Panda został zauważony przez Check Point, który powiedział, że ma na oku grupę, ponieważ jest ona celem mongolskich organizacji rządowych. Podobnie jak w przypadku pierwszego ataku, grupa twierdziła, że posiada ważne informacje o koronawirusie, które użytkownicy powinni pobrać, aby uzyskać dostęp.
Check Point był w stanie przechwycić atak cybernetyczny „chińskiej grupy APT na podmiot sektora publicznego w Mongolii”. Atak wykorzystał obawy przed koronawirusem w fazie socjotechniki. Zawierał dwa dokumenty. Jeden z dokumentów dotyczył COVID-19 i oba twierdziły, że pochodzą z mongolskiego Ministerstwa Spraw Zagranicznych. Dokumenty zostały dostarczone wraz z unikalnym zagrożeniem złośliwym oprogramowaniem, które umożliwiało zdalny dostęp do komputerów ofiar.
Załącznik do wiadomości e-mail — źródło: research.checkpoint.com
Wierzchołek góry lodowej
Niestety, ten ostatni atak nie jest niczym nowym i stanowi jedynie wierzchołek przysłowiowej góry lodowej. Hakerzy zawsze wykorzystywali tego rodzaju kryzysy na swoją korzyść, więc nie było mowy, aby byli w stanie oprzeć się wykorzystaniu COVID-19.
Według firmy Check Point najnowszy chiński dokument APT nosi tytuł „O rozprzestrzenianiu się nowych infekcji koronawirusem”. Powołuje się na Narodowy Komitet Zdrowia Chin, aby wyglądać bardziej autentycznie i być bardziej skutecznym. Chociaż istnieje wiele zagrożeń cybernetycznych związanych z COVID-19, wydaje się, że jest to pierwsze przeprowadzone przez sponsorowaną przez państwo grupę hakerską przeciwko obcemu rządowi.
Oprócz tego, że jest ostatnim z serii ataków hakerskich związanych z koronawirusem, Check Point twierdzi, że atak jest tylko ostatnim w trwającej kampanii chińskich hakerów przeciwko innym rządom i organizacjom. Różnica polega na tym, że ten wykorzystał koronawirusa jako część metody wdrażania.
Atak został opisany jako „wykorzystywanie zainteresowania publicznego koronawirusem do własnych celów [Chiny] poprzez nowy łańcuch cyberinfekcji”. Mówią, że Vicious Panda atakuje kraje na całym świecie – nie tylko Mongolię. Wzywają każdy podmiot sektora publicznego i telekomunikację do zachowania czujności przed potencjalnymi zagrożeniami cybernetycznymi, w szczególności wszystkim, co twierdzi, że dotyczy koronawirusa.
E-mail i dokumenty twierdzą, że pochodzą z rządu Mongolii. Przynajmniej jeden z nich twierdził, że pochodzi od ministra spraw zagranicznych. Kampania skierowana była do innych części mongolskiego sektora publicznego. Celem kampanii wydawało się pobieranie informacji i zrzutów ekranu z komputerów rządowych, edytowanie i usuwanie plików oraz przejęcie zdalnej kontroli nad tymi komputerami.
Jak działa złośliwe oprogramowanie ransomware Panda?
Złośliwy załącznik zawiera trojana zdalnego dostępu (RAT), który może przejąć kontrolę nad komputerami. Trojan jest zaprogramowany tak, aby mieć ograniczone połączenia z serwerem dowodzenia i kontroli, co może utrudnić jego wykrycie. Struktura ładunku sugeruje, że może on zawierać inne moduły, które mają zostać zainstalowane później w ramach większej kampanii. Z tego, co Check Point może wywnioskować, złośliwe oprogramowanie użyte w ataku jest całkowicie unikatową i specjalnie zaprojektowaną odmianą, ale dokładnie to, jak działa – i co robi – jest dość powszechne.
Łańcuchy infekcji złośliwej pandy — źródło: research.checkpoint.com
Check Point zepsuł inne części kampanii, takie jak miejsce, w którym znajdowało się centrum dowodzenia i kontroli. Ostatecznie jednak to złośliwe oprogramowanie jest niczym innym jak kampanią sponsorowaną przez państwo. Wykorzystuje socjotechnikę, aby zachęcić użytkowników do pobrania i otwarcia załącznika. Załącznik ładuje inny plik i instaluje backdoora na komputerze. Chiny mogą wtedy wykorzystać te tylne drzwi do szpiegowania celów rządowych.
Cyberprzestępcy będą nadal wykorzystywać Chiny i koronawirusa
Chociaż drogowskazy najwyższego poziomu nie zawierają wystarczających informacji, aby dokładnie określić, kto stoi za atakiem, firma Check Point zagłębiła się w kod złośliwego oprogramowania i stwierdziła, że jest on podobny do kodu używanego w innym złośliwym oprogramowaniu związanym z Chinami. Kampanie te były również wymierzone w wrogów Chin.
Chiny – epicentrum koronawirusa – wykorzystują wirusa na swoją korzyść w wielu oszukańczych metodach. Nic dziwnego jednak, że wykorzystaliby koronawirusa, ponieważ jest to obecnie najlepsze narzędzie socjotechniki dostępne dla cyberprzestępców. Nawet zwykli cyberprzestępcy wykorzystują go we własnych kampaniach.
