Chińscy cyberszpiedzy zaatakowali wojsko – Bitdefender ujawnił działania chińskiej grupy ATP znanej jako Naikon. Chińscy hakerzy inwigilowali agencje rządowe i organizacje wojskowe z Azji Południowo-Wschodniej.

Chińscy cyberszpiedzy – poważny atak na wojsko

Bitdefender ustalił, iż działania Naikon wymierzone przeciwko instytucjom w Filipinach, Malezji, Indonezji, Singapurze i Tajlandii, były prowadzone od czerwca 2019 do marca 2021 roku. Na początku operacji cyberszpiedzy wykorzystali malware Nebulae oraz Aria-body. Ten ostatni przekazywał napastnikom ustawienia systemu ofiary oraz tworzył wpisy w rejestrze.

SKUTECZNE I SPRAWDZONE ANTYWIRUSY DO DOMU

Dane, które do tej pory zgromadziliśmy, nie mówią nam zbyt wiele o roli Nebulae w tej operacji. Jednak wykryta obecność mechanizmu trwałego może oznaczać, że jest on używany jako zapasowy punkt dostępu do ofiary. – tłumaczy Victor Vrabie, badacz Bitdefender.

Napastnicy dodatkowo włączyli do swojego zestawu narzędzi backdoora RainyDay. Hakerzy z Naikon za jego pośrednictwem przeprowadzali rekonesans, uruchamiali odwrotny serwer proxy i skanery oraz wprowadzali narzędzia do zrzutu haseł. Wszystko po to, aby naruszyć sieci ofiar i wydobyć z nich cenne informacje.

CHROŃ DANE SWOJE DANE -> ZOBACZ OFERTĘ ANTYWIRUSÓW

Chińscy cyberszpiedzy – poważny atak na wojsko

Oprócz dodatkowych ładunków w zainfekowanych systemach, atakujący mogą również wysyłać polecenia RainyDay przez TCP lub HTTP w celu manipulowania usługami, uzyskiwania dostępu do powłoki poleceń, odinstalowywania złośliwego oprogramowania, wykonywania i zbierania zrzutów ekranu oraz manipulowania, pobierania lub wysyłania plików. W czasie ataków przeprowadzonych pomiędzy czerwcem 2019 a marcem 2021 roku Naikon pozostawiał złośliwe ładunki wykorzystując luki w bibliotekach DLL, które występowały w następujących systemach:

  • Sandboxie COM Services (BITS) (SANDBOXIE)
  • Outlook Item Finder (Microsoft)
  • VirusScan On-Demand Scan Task Properties (McAfee.)
  • Mobile Popup Application (Quick Heal Technologies )
  • ARO 2012 Tutorial

Bitdefender jest pewny, że operacje przeprowadził Naikon. Świadczą o tym serwery zarządzające i kontrolujące oraz oprogramowanie Aria-Body wcześniej używane przez tę grupę hakerów. Wiele też wskazuje na to, że Naikon jest sponsorowany przez chiński rząd, a działalność cyberszpiegów obejmuje ataki na instytucje rządowe oraz organizacje militarne.

5 1 vote
Article Rating

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments