Huda panda
V zadnjih mesecih je bilo več zgodb o tem, da so kibernetski kriminalci uporabljali zelo resnično grožnjo koronavirusa za širjenje zlonamerne programske opreme in izsiljevalske programske opreme . Te grožnje so se širile po vsem svetu, veliko pa jih je prišlo predvsem s Kitajske. Do te mere, da je kitajska hekerska skupina Vicious Panda, ki jo sponzorira država, začela širiti lastno zlonamerno programsko opremo prek koronavirusa.
Informacije o napadu prihajajo iz Check Pointa, ki je objavil raziskavo, ki kaže, da je kitajski APT "oborožil" legitimne informacije o koronavirusu za širjenje svoje zlonamerne programske opreme v množice.
Kazalo
Drugi napad
Napad Vicious Panda je pravzaprav druga večja kampanja zlonamerne programske opreme, povezana s koronavirusom (COVID-19), ki je prišla s Kitajske v zadnjih nekaj tednih. Prvi se je zgodil v začetku marca, ko je vietnamska skupina za kibernetsko varnost VinCSS opazila napad Mustang Pande. Mustang Panda je še ena hekerska skupina, ki jo sponzorira kitajska država.
Njihov napad je bil znan po distribuciji e-pošte s priloženo datoteko RAR, ki naj bi vsebovala sporočilo vietnamskega premierja o koronavirusu. Namesto da bi vsebovala kakršno koli pomembno sporočilo, je datoteka RAR vsebovala backdoor trojan, ki se je namestil v računalnike žrtve in jih odprl hekerski skupini.
Huda panda napadla mongolsko vlado
Napad Vicious Panda je opazil Check Point, ki je dejal, da spremljajo skupino, saj so bile tarče mongolskih vladnih organizacij. Tako kot prvi napad je skupina trdila, da ima pomembne informacije o koronavirusu, ki bi jih morali uporabniki prenesti za dostop.
Check Pointu je uspelo prestreči kibernetski napad "kitajske skupine APT na subjekt javnega sektorja Mongolije." Napad je v fazi socialnega inženiringa spodbudil strahove pred koronavirusom. Vseboval je dva dokumenta. Eden od dokumentov je bil povezan s COVID-19 in oba sta trdila, da sta iz mongolskega ministrstva za zunanje zadeve. Dokumenti so bili zapakirani z edinstveno grožnjo zlonamerne programske opreme, ki je omogočala oddaljeni dostop do žrtvinih računalnikov.
E-poštna priloga – Vir: research.checkpoint.com
Vrh ledene gore
Na žalost ta zadnji napad ni nič novega in predstavlja le vrh pregovorne ledene gore. Hekerji so tovrstne krize vedno uporabljali v svojo korist, zato se nikakor ne bi mogli upreti izkoriščanju prednosti COVID-19.
Najnovejši kitajski dokument APT je bil po poročanju Check Pointa naslovljen »O širjenju novih okužb s koronavirusom«. Sklicuje se na nacionalni zdravstveni odbor Kitajske, da bi bil videti bolj pristen in učinkovit. Čeprav je prišlo do številnih kibernetskih groženj, povezanih s COVID-19, se zdi, da je to prva, ki jo je hekerska skupina, ki jo sponzorira država, izvedla proti tuji vladi.
Poleg tega, da je zadnji v seriji hekerskih napadov, povezanih s koronavirusom, Check Point pravi, da je napad le zadnji v tekoči kampanji kitajskih hekerjev proti drugim vladam in organizacijam. Razlika je v tem, da je ta izkoristil koronavirus kot del metode uvajanja.
Napad je bil opisan kot "izkoriščanje javnega interesa za koronavirus za [kitajsko] lastno agendo prek nove verige kibernetskih okužb." Pravijo, da Vicious Panda cilja na države po vsem svetu - ne samo na Mongolijo. Pozivajo vse subjekte javnega sektorja in telekomunikacijske družbe, naj bodo pozorni na morebitne kibernetske grožnje, zlasti vse, kar trdi, da gre za koronavirus.
E-pošta in dokumenti trdijo, da prihajajo iz mongolske vlade. Vsaj eden od njih je trdil, da prihaja od ministra za zunanje zadeve. Kampanja je bila usmerjena na druge dele mongolskega javnega sektorja. Zdi se, da je bil cilj kampanje pridobivanje informacij in posnetkov zaslona iz vladnih računalnikov, urejanje in brisanje datotek ter prevzem daljinskega nadzora nad temi računalniki.
Kako deluje ransomware Vicious Panda?
Zlonamerna priloga vsebuje trojanca za oddaljeni dostop (RAT), ki lahko prevzame nadzor nad računalniki. Trojanec je programiran tako, da ima omejene povezave z ukaznim in nadzornim strežnikom, kar lahko oteži odkrivanje. Struktura obremenitve nakazuje, da bi lahko vključevala druge module, ki so načrtovani za kasnejšo namestitev kot del večje kampanje. Glede na to, kar lahko ugotovi Check Point, je zlonamerna programska oprema, uporabljena v napadu, popolnoma edinstvena in po meri oblikovana vrsta, toda kako natančno deluje – in kaj počne – sta precej pogosta.
Vicious Panda Infection Chains – Vir: research.checkpoint.com
Check Point je razčlenil druge dele kampanje, na primer kje je gostoval poveljniški in nadzorni center. Na koncu pa ta zlonamerna programska oprema ni nič drugega kot kampanja, ki jo sponzorira država. Uporablja socialni inženiring za spodbujanje uporabnikov, da prenesejo in odprejo prilogo. Priloga naloži drugo datoteko in namesti zaledna vrata v računalnik. Kitajska lahko nato ta zaledja izkoristi za vohunjenje za vladnimi cilji.
Kibernetski zlobniki bodo še naprej izkoriščali Kitajsko in koronavirus
Medtem ko smerokazi na najvišji ravni ne ponujajo dovolj informacij, da bi natančno ugotovili, kdo stoji za napadom, je Check Point izkopal kodo zlonamerne programske opreme in ugotovil, da je podobna kodi, uporabljeni v drugi zlonamerni programski opremi, povezani s Kitajsko. Te kampanje so bile usmerjene tudi proti kitajskim sovražnikom.
Kitajska – epicenter koronavirusa – s številnimi zavajajočimi metodami uporablja virus v svojo korist. Ni presenetljivo, da bi uporabili koronavirus, saj je trenutno najboljše orodje socialnega inženiringa, ki je na voljo akterjem grožnje. Celo običajni kibernetski kriminalci ga uporabljajo v svojih kampanjah.
