Atak chińskich hakerów. Chcieli przejąć rządowe komputery

Rząd jednego z państw Azji Południowo-Wschodniej stał się celem ataku cybernetycznego wykorzystującego nieznaną do tej pory dziurę w pakiecie Office. Backdoor pozwalał przestępcom na przejęcie całkowitej kontroli nad zaatakowanym komputerem. Tropy prowadzą do chińskiej grupy hakerskiej.

Chińscy hakerzy mogą przejąć kontrolę nad komputeremChińscy hakerzy mogą przejąć kontrolę nad komputerem
Źródło zdjęć: © Check Point
Konstanty Młynarczyk
4

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali atak, który wydaje się być zakrojoną na szeroką skalę operacją szpiegowską przeciwko jednemu z krajów Azji Południowo-Wschodniej.

Według nich, za atak odpowiada chińska grupa hakerska o dużych możliwościach, wskazujących na wsparcie i finansowanie przez rząd, siły zbrojne lub wywiad tego państwa.

Atakujący wykorzystali technikę tak zwanego spear phishingu, wysyłając urzędnikom ministerstwa spraw zagranicznych korespondencję z adresów wyglądających, jakby należały do innych jednostek rządowych. Przesłane maile zawierały dokumenty w formacie .DOCX, zawierające niewzbudzające podejrzenia dokumenty.

Atak wykorzystywał mechanizm pobierania przez pliki Office szablonu dokumentu ze zdalnego serwera. W chwili otwarcia, przesłane dokumenty łączyły się z podstawionym serwerem cyberprzestępców pobierając ładunek stanowiący pierwszy etap ataku. Uruchomiony program pobierał, odszyfrowywał i ładował do pamięci docelowy plik .DLL (Dynamic Library Link).

Użyty przez atakujących backdoor "VictoryDll_x86.dll" jest najwyraźniej przygotowany przez samą grupę przestępczą, bo nie był widziany nigdy wcześniej. Pozwala przejąć całkowitą kontrolę nad zainfekowaną maszyną, uruchamianie dowolnych programów, odczyt i edycję plików, wykonywanie zrzutów ekranowych i uzyskanie informacji o procesach i usługach.

Zdaniem ekspertów przygotowanie i przeprowadzenie całej operacji zdradzają wysoki poziom atakujących i długofalowe planowanie. Wykorzystanie podczas ataku wiadomości skutecznie zamaskowanych jako pochodzące z innych jednostek administracji rządowej wskazuje na wcześniejsze rozpoznanie, prawdopodobnie obejmujące też udane ataki na urzędników innych organów państwowych.

Specjaliści firmy Check Point, która wykryła i zatrzymała atak uważają, że nie chodziło w nim tylko o wykradzenie informacji, ale też - albo przede wszystkim - przejęcie kontroli nad komputerami kluczowych urzędników, żeby móc monitorować na bieżąco działalność ministerstwa spraw zagranicznych zaatakowanego państwa. Zdaniem ekspertów możliwe jest, że podobne ataki przeprowadzone w innych państwach zakończyły się sukcesem.

Wybrane dla Ciebie

Rosja modernizuje bazy broni jądrowej. Szwecja potwierdza
Rosja modernizuje bazy broni jądrowej. Szwecja potwierdza
To przyszłość komputerów. Dyski SSD PCIe 5.0 coraz lepsze i tańsze
To przyszłość komputerów. Dyski SSD PCIe 5.0 coraz lepsze i tańsze
Startuje Paris Air Show 2025. "Pekin pokazuje muskuły"
Startuje Paris Air Show 2025. "Pekin pokazuje muskuły"
Mają 236 mln lat. Najstarsze skamieniałości motyli
Mają 236 mln lat. Najstarsze skamieniałości motyli
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Izrael, Iran i pizza. Pentagon wiedział?
Izrael, Iran i pizza. Pentagon wiedział?
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"