Google wykryło chińskich hakerów. Ich celem byli dyplomaci
Ataki hakerów z Państwa Środka przybierają na sile. Tym razem w co prawda znany już, ale nadal sprytny sposób zarażano urządzenia dyplomatów z Azji.
Google poinformowało o wykryciu nowej kampanii cyberszpiegowskiej, której ofiarą padło około dwóch tuzinów dyplomatów w Azji Południowo-Wschodniej. Za atakami ma stać grupa UNC6384 powiązana z Chinami, znana wcześniej z zaawansowanych operacji hakerskich i działań na rzecz interesów politycznych swojego państwa.
Pekin zaprzecza zarzutom, że sponsoruje hakerów
Kluczowym narzędziem w tej kampanii były ataki typu adversary-in-the-middle, polegające na przechwytywaniu połączeń, np. podczas logowania się do publicznych sieci Wi-Fi. Dyplomaci byli przekierowywani do pobrania spreparowanego instalatora o nazwie STATICPLUGIN, który posiadał ważny certyfikat cyfrowy, dzięki czemu wyglądał na autentyczne oprogramowanie.
Po jego uruchomieniu instalowany był ukryty moduł SOGU.SEC, działający w pamięci komputera. Umożliwiał on zdalne sterowanie zainfekowanym systemem, kradzież plików oraz wykonywanie poleceń w ukryciu.
Google podjęło działania mające na celu powstrzymanie kampanii - zablokowano szkodliwe domeny, cofnięto skompromitowane certyfikaty i powiadomiono część poszkodowanych użytkowników. Firma podkreśla, że dyplomaci od dawna stanowią atrakcyjny cel dla cyberprzestępców ze względu na możliwość pozyskiwania informacji wywiadowczych czy wpływania na negocjacje.
Pekin niezmiennie zaprzecza oskarżeniom o sponsorowanie ataków hakerskich, jednak podobne incydenty pojawiają się coraz częściej. Niedawno Singapur ostrzegał przed działalnością innej grupy powiązanej z Chinami - UNC3886 - która miała atakować infrastrukturę krytyczną.
