Čínské kyberútoky na Ujgury: Útočníci posílají škodlivé dokumenty maskované za zprávy od OSN

Čínské kyberútoky na Ujgury: Útočníci posílají škodlivé dokumenty maskované za zprávy od OSN

Ujgurové terčem kyberútoků skrývajících se za zprávy OSN, stopy vedou k čínsky mluvícím hackerům.

NÚKIB: Kvůli Rusku hrozí sabotáže průmyslových systémů, špionáž a kyberútoky
Heureka Group kupuje analytickou společnost Dataweps
Vodafone rozšířil 5G síť do 130 dalších českých měst a obcí
ČTÚ spustil provoz srovnávače tarifů operátorů

Ujgurové jsou terčem kyberútoků vydávajících se za zprávy od OSN , stopy vedou k čínsky mluvícím hackerům.

Výzkumný tým Check Point Research odhalil ve spolupráci s výzkumníky z týmu Kaspersky Global Research & Analysis Team vlnu kyberútoků zaměřenou na Ujgury v Sin-ťiangu, Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor a hackeři získají přístup prakticky ke všem informacím, zároveň mohou do zařízení stáhnout další malware.

Výzkumníci identifikovali dva způsoby infekce:

  1. Škodlivé dokumenty, které jsou většinou rozesílané e-mailem a v případě otevření a povolení editace stáhnou do počítače backdoor.
  2. Webové stránky falešné nadace se snaží přesvědčit návštěvníky, aby si před vyplněním citlivých informací v žádosti o grant stáhli podvodný bezpečnostní skener.

Škodlivý dokument s motivem OSN

Bezpečnostní odborníci odhalili škodlivý dokument s tématikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.

Falešné webové stránky nadace pro lidská práva

Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation).  Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.

Falešná webová stránka (nahoře) a srovnání s původní stránkou (dole)

Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.

Odkazy ke stažení falešného bezpečnostního skeneru

Oběti

Výzkumníci odhadují, že kampaň je zaměřena na ujgurskou menšinu nebo organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, ale v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou.

Útočníci

Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.

Podobný kód makra na čínském fóru

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 0