Atak chińskich hakerów. Chcieli przejąć rządowe komputery

Rząd jednego z państw Azji Południowo-Wschodniej stał się celem ataku cybernetycznego wykorzystującego nieznaną do tej pory dziurę w pakiecie Office. Backdoor pozwalał przestępcom na przejęcie całkowitej kontroli nad zaatakowanym komputerem. Tropy prowadzą do chińskiej grupy hakerskiej.

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali atak, który wydaje się być zakrojoną na szeroką skalę operacją szpiegowską przeciwko jednemu z krajów Azji Południowo-Wschodniej.

Według nich, za atak odpowiada chińska grupa hakerska o dużych możliwościach, wskazujących na wsparcie i finansowanie przez rząd, siły zbrojne lub wywiad tego państwa.

Atakujący wykorzystali technikę tak zwanego spear phishingu, wysyłając urzędnikom ministerstwa spraw zagranicznych korespondencję z adresów wyglądających, jakby należały do innych jednostek rządowych. Przesłane maile zawierały dokumenty w formacie .DOCX, zawierające niewzbudzające podejrzenia dokumenty.

Atak wykorzystywał mechanizm pobierania przez pliki Office szablonu dokumentu ze zdalnego serwera. W chwili otwarcia, przesłane dokumenty łączyły się z podstawionym serwerem cyberprzestępców pobierając ładunek stanowiący pierwszy etap ataku. Uruchomiony program pobierał, odszyfrowywał i ładował do pamięci docelowy plik .DLL (Dynamic Library Link).

Użyty przez atakujących backdoor "VictoryDll_x86.dll" jest najwyraźniej przygotowany przez samą grupę przestępczą, bo nie był widziany nigdy wcześniej. Pozwala przejąć całkowitą kontrolę nad zainfekowaną maszyną, uruchamianie dowolnych programów, odczyt i edycję plików, wykonywanie zrzutów ekranowych i uzyskanie informacji o procesach i usługach.

Zdaniem ekspertów przygotowanie i przeprowadzenie całej operacji zdradzają wysoki poziom atakujących i długofalowe planowanie. Wykorzystanie podczas ataku wiadomości skutecznie zamaskowanych jako pochodzące z innych jednostek administracji rządowej wskazuje na wcześniejsze rozpoznanie, prawdopodobnie obejmujące też udane ataki na urzędników innych organów państwowych.

Specjaliści firmy Check Point, która wykryła i zatrzymała atak uważają, że nie chodziło w nim tylko o wykradzenie informacji, ale też - albo przede wszystkim - przejęcie kontroli nad komputerami kluczowych urzędników, żeby móc monitorować na bieżąco działalność ministerstwa spraw zagranicznych zaatakowanego państwa. Zdaniem ekspertów możliwe jest, że podobne ataki przeprowadzone w innych państwach zakończyły się sukcesem.