Ujgurové terčem kyberútoků skrývajících se za zprávy OSN, stopy vedou k čínsky mluvícím hackerům.
Ujgurové jsou terčem kyberútoků vydávajících se za zprávy od OSN , stopy vedou k čínsky mluvícím hackerům.
Výzkumný tým Check Point Research odhalil ve spolupráci s výzkumníky z týmu Kaspersky Global Research & Analysis Team vlnu kyberútoků zaměřenou na Ujgury v Sin-ťiangu, Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor a hackeři získají přístup prakticky ke všem informacím, zároveň mohou do zařízení stáhnout další malware.
Výzkumníci identifikovali dva způsoby infekce:
- Škodlivé dokumenty, které jsou většinou rozesílané e-mailem a v případě otevření a povolení editace stáhnou do počítače backdoor.
- Webové stránky falešné nadace se snaží přesvědčit návštěvníky, aby si před vyplněním citlivých informací v žádosti o grant stáhli podvodný bezpečnostní skener.
Škodlivý dokument s motivem OSN
Bezpečnostní odborníci odhalili škodlivý dokument s tématikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.
Falešné webové stránky nadace pro lidská práva
Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation). Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.
Falešná webová stránka (nahoře) a srovnání s původní stránkou (dole)
Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.
Odkazy ke stažení falešného bezpečnostního skeneru
Oběti
Výzkumníci odhadují, že kampaň je zaměřena na ujgurskou menšinu nebo organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, ale v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou.
Útočníci
Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.
Podobný kód makra na čínském fóru
KOMENTÁŘE