Atak chińskich hakerów. Chcieli przejąć rządowe komputery

Rząd jednego z państw Azji Południowo-Wschodniej stał się celem ataku cybernetycznego wykorzystującego nieznaną do tej pory dziurę w pakiecie Office. Backdoor pozwalał przestępcom na przejęcie całkowitej kontroli nad zaatakowanym komputerem. Tropy prowadzą do chińskiej grupy hakerskiej.

Chińscy hakerzy mogą przejąć kontrolę nad komputerem
Chińscy hakerzy mogą przejąć kontrolę nad komputerem
Źródło zdjęć: © Check Point
Konstanty Młynarczyk

03.06.2021 14:42

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali atak, który wydaje się być zakrojoną na szeroką skalę operacją szpiegowską przeciwko jednemu z krajów Azji Południowo-Wschodniej.

Według nich, za atak odpowiada chińska grupa hakerska o dużych możliwościach, wskazujących na wsparcie i finansowanie przez rząd, siły zbrojne lub wywiad tego państwa.

Atakujący wykorzystali technikę tak zwanego spear phishingu, wysyłając urzędnikom ministerstwa spraw zagranicznych korespondencję z adresów wyglądających, jakby należały do innych jednostek rządowych. Przesłane maile zawierały dokumenty w formacie .DOCX, zawierające niewzbudzające podejrzenia dokumenty.

Atak wykorzystywał mechanizm pobierania przez pliki Office szablonu dokumentu ze zdalnego serwera. W chwili otwarcia, przesłane dokumenty łączyły się z podstawionym serwerem cyberprzestępców pobierając ładunek stanowiący pierwszy etap ataku. Uruchomiony program pobierał, odszyfrowywał i ładował do pamięci docelowy plik .DLL (Dynamic Library Link).

Użyty przez atakujących backdoor "VictoryDll_x86.dll" jest najwyraźniej przygotowany przez samą grupę przestępczą, bo nie był widziany nigdy wcześniej. Pozwala przejąć całkowitą kontrolę nad zainfekowaną maszyną, uruchamianie dowolnych programów, odczyt i edycję plików, wykonywanie zrzutów ekranowych i uzyskanie informacji o procesach i usługach.

Zdaniem ekspertów przygotowanie i przeprowadzenie całej operacji zdradzają wysoki poziom atakujących i długofalowe planowanie. Wykorzystanie podczas ataku wiadomości skutecznie zamaskowanych jako pochodzące z innych jednostek administracji rządowej wskazuje na wcześniejsze rozpoznanie, prawdopodobnie obejmujące też udane ataki na urzędników innych organów państwowych.

Specjaliści firmy Check Point, która wykryła i zatrzymała atak uważają, że nie chodziło w nim tylko o wykradzenie informacji, ale też - albo przede wszystkim - przejęcie kontroli nad komputerami kluczowych urzędników, żeby móc monitorować na bieżąco działalność ministerstwa spraw zagranicznych zaatakowanego państwa. Zdaniem ekspertów możliwe jest, że podobne ataki przeprowadzone w innych państwach zakończyły się sukcesem.

Wybrane dla Ciebie
Komentarze (4)