Check Point Research, výzkumný tým společnosti Check Point Software Technologies, odhalil čínské kybernetické útoky na ruské obranné výzkumné ústavy. Operace Twisted Panda, za kterou stojí čínská státní hackerská skupina, využívá ke krádeži citlivých informací spear-phishingové e-maily napodobující zprávy od ruského ministerstva zdravotnictví.
E-maily obsahují nebezpečné dokumenty a snaží se nalákat uživatele pomocí sociálního inženýrství na zprávy o západních sankcích vůči Rusku. Hackeři se dokázali téměř 11 měsíců vyhýbat odhalení pomocí zcela nových nástrojů, sofistikovaných loaderů a backdoorů, včetně backdooru Spinner, který dokáže krást data a soubory, manipulovat soubory, spouštět příkazy a stahovat další škodlivý obsah.
Využíváte už ve firmě autonomní agenty postavené na bázi umělé inteligence?
Check Point identifikoval tři cíle, dva v Rusku a jeden v Bělorusku. Ruské oběti patří do holdingu ruského státního obranného konglomerátu Rostec Corporation, který je největším ruským holdingem v radioelektronickém průmyslu. Terčem útoků byly společnosti zaměřené na vývoj a výrobu elektronických bojových systémů, vojenských radioelektronických zařízení, leteckých radarových stanic a identifikačních technologií. Zasažené subjekty se zabývají také navigačními systémy pro civilní letectví, vývojem zdravotnických přístrojů a řídicích systémů pro energetiku, dopravu a strojírenství.
Útočníci nejprve posílají obětem speciálně vytvořený phishingový e-mail, který obsahuje dokument s informacemi o západních sankcích vůči Rusku. Když uživatel dokument otevře, stáhne se z hackerského serveru škodlivý kód, který nainstaluje a spustí backdoor v počítači oběti. Backdoor krade informace o infikovaném počítači a odesílá je útočníkům. Backdoor může být použit ke spuštění dalších příkazů a krádežím citlivých dat.
Pište pro Computerworld
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Několika obranným výzkumným ústavům v Rusku byly zaslané škodlivé e-maily. E-maily s předmětem „Seznam osob z <název cílového institutu>, na které se vztahují sankce USA za napadení Ukrajiny“ obsahovaly nebezpečný dokument a odkaz na podvodnou stránku napodobující ruské ministerstvo zdravotnictví.
Zároveň byl podobný e-mail zaslán také neznámému subjektu v běloruském Minsku s předmětem „USA šíří v Bělorusku smrtící patogeny“. Všechny dokumenty byly vytvořené tak, aby vypadaly jako oficiální dokumenty ruského ministerstva zdravotnictví a byly opatřeny oficiálním znakem a názvem.
Vzhledem k použitým taktikám, technikám a postupům můžeme říci, že za špionáží stojí čínská APT skupina. Operace Twisted Panda má stejné rysy jako jiné útoky špičkových čínských kyberšpionážních skupin APT10 a Mustang Panda.
„Odhalili jsme špionáž zaměřenou na ruské obranné výzkumné ústavy, za kterou stojí zkušení čínští hackeři. Jedná se o součást větší operace, která probíhá již přibližně rok. Terčem byly dva obranné výzkumné ústavy v Rusku a jeden subjekt v Bělorusku. Vzhledem k množství kyberválečných operací po celém světě musí i čeští politici, významné osobnosti a organizace spojené s kritickou infrastrukturou používat to nejlepší zabezpečení, protože riziko podobných útoků je velmi reálné,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. „Asi nejsofistikovanější částí kampaně je využití sociálního inženýrství. Načasování útoků a použité návnady jsou velmi rafinované. Z technického hlediska je kvalita nástrojů nadprůměrná i na poměry APT skupin. Špionáž potvrzuje dlouhodobou snahu Číny získat technologickou převahu. V aktuální kampani čínští státem sponzorovaní hackeři zneužívají probíhající Rusko-Ukrajinské války a útočí na Rusko, které je jinak považované za strategického partnera.“
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.