Lookout: Uigurii, supravegheați de hackeri afiliați serviciilor secrete chineze

Experții companiei americane de securitate cibernetică Lookout au publicat un raport detaliat privind campania cibernetică a autorităților RPC avându-i ca țintă pe uiguri, minoritate musulmană din vestul Chinei.

Astfel, în cadrul acestei campanii, dispozitivele membrilor comunității vizate au fost infectate cu malware încă din anul 2013, ceea ce le-a permis hackerilor afiliați serviciilor chineze de informații să monitorizeze activitățile comunității uigure atât în China, cât și în străinătate (14 țări).

Potrivit analizei Lookout, în spatele acestei campanii se află o grupare de hackeri care operează sub auspiciile guvernului chinez. Operațiunile acestei grupări au mai fost documentate, iar anul trecut aceasta a primit numele de cod APT15 (aka GREF, Ke3chang, Mirage, Vixen Panda, Playful Dragon).

Majoritatea atacurilor anterioare ale APT15 se bazau pe programe malițioase special concepute pentru Windows, însă recent arsenalul hackerilor chinezi s-a completat cu instrumente specifice sistemului Android, printre acestea numărându-se diferite tipuri de malware precum HenBox, PluginPhantom, Spywaller sau DarthPusher.

În afară de acestea, analiștii Lookout au descoperit 4 malware noi: SilkBean, DoubleAgent, CarbonSteal și – cel mai performat – GoldenEagle.

APT15 nu și-au încărcat aplicațiile dăunătoare pe Google Play Store, ci au piratat diverse site-uri legitime și au folosit tehnica watering hole. Astfel, codul malițios era injectat pe site-uri legitime, vizitatorii fiind redirecționați către pagini, forumuri, magazine de aplicații și alte site-uri unde li se cerea să descarce și să instaleze aplicații infectate cu malware-ul APT15.

Din neatenție, hackerii au lăsat neprotejat serverul GoldenEagle, ceea ce le-a permis cercetătorilor să colecteze informații atât despre victimele, cât și despre operatorii acestui program malițios.

Analizând logurile astfel obținute, cercetătorii au găsit datele primelor dispozitive infectate cu GoldenEagle. Coordonatele GPS obținute de la aceste dispozitive indicau biroul Xi’an Tianhe Defense Technology, o importantă companie militară chineză. Putem presupune că acestea erau dispozitivele pe care dezvoltatorii GoldenEagle testau funcționarea acestui program.

Așadar APT15 = Xi’an Tianhe Defense Technology!

Nu este prima dezvăluire de acest fel: între 2017 și 2019, compania de cyber security Intrusion Truth a demonstrat legăturile a patru grupări de hackeri cu diverși contractori ai serviciilor de informații ale RPR:

APT3 – grupare afiliată companiei Boyusec, care cooperează cu autoritățile chineze și este asociată cu securitatea statului din Guangdong;

APT10 – asociată unei serii de companii locale care cooperează cu autoritățile chineze în orașul Tianjin;

APT17 – asociată unor companii care cooperează cu autoritățile chineze în orașul Jinan;

APT40 – colaborează cu securitatea statului din provincia Hainan.

Cele mai nefaste tipuri de amenințări cibernetice sunt așa-numitele “amenințări persistente avansate” (APT – advanced persistent threats). Este vorba de acțiuni sofisticate, în care atacatorii sunt angajați în activități pe termen lung de monitorizare și de furt de date, urmărind uneori și scopuri de distrugere. Amenințările de tip APT sunt în majoritatea cazurilor asociate unui stat.

Leave a Reply

Your email address will not be published. Required fields are marked *