W czerwcu 2020 r. odkryto zaawansowaną kampanię cyberszpiegowską ukierunkowaną na podmioty z sektora rządowego i wojskowego w Wietnamie – informuje Kaspersky. Eksperci firmy wskazują, że działania powiązane są z chińskojęzyczną grupą Cycldek.
Eksperci firmy Kaspersky informują o wykryciu zaawansowanych działań szpiegowskich wymierzonych w cele umiejscowione w Wietnamie, Tajlandii oraz innych państwach położonych w Azji Środkowej. Działania grupy po raz pierwszy miały zostać zidentyfikowane w 2020 roku i były obserwowane do stycznia tego roku.
Działania w 80% zostały wymierzone w komputery, które znajdowały się na terenie Wietnamu. Większość z nich należała do wojska oraz urzędników sektora rządowego. Część celów związana była również z sektorami zdrowia, dyplomacji, edukacji i polityki.
Jak wskazują badacze Kasperskiego, analiza działań w ramach operacji sugeruje, że kampania była prowadzona przez grupę związaną z „Cycldek”, chińskojęzycznych hakerów, działających co najmniej od 2013 roku. Użyte przez nich metody pokazują, jak duży postęp poczynili oni w trakcie prowadzenia operacji.
Działania wymierzone w newralgiczną grupę osób mają swój początek prawdopodobnie w phishingu. Jak wskazują eksperci Kasperskiego, „opierając się na podobieństwach wykorzystania złośliwego oprogramowania, które odkryliśmy w zeszłym roku, przypisujemy tę kampanię z niskim poziomem pewności grupie Cycldekowi, którą do tej pory uważaliśmy za mniej wyrafinowanego chińskojęzycznego aktora, prowadzącego kampanie cyberszpiegowskie w tym regionie. Jednak ta ostatnia aktywność sygnalizuje duży skok w ich umiejętnościach” - czytamy w oświadczeniu firmy.
Wcześniej eksperci opisali kampanię wymierzoną w podmioty sektora przemysłu obronnego z kilkunastu państw, która została przypisana hakerom powiązanym z rządem Korei Północnej. Hakerzy prowadzili działania od początku 2020 roku a ich celem były podmioty z sektora przemysłu obronnego kilkunastu państw. Podczas operacji wykorzystano „niestandardowego backdoora” o nazwie ThreatNeedle do kradzieży poufnych informacji – informowali eksperci Kasperskiego pod koniec lutego. Analiza działań hakerów wykazała, że początkowa infekcja wirusem następowała poprzez spear-phishing.
Cele otrzymywały wiadomości e-mail zawierające złośliwy załącznik Worda lub odsyłacz do zainfekowanej witryny. W wielu przypadkach treść korespondencji dotyczyła informacji o pilnych informacjach nawiązujących do pandemii koronawirusa, a ich nadawcą miało być rzekomo „szanowane centrum medyczne”. Więcej o sprawie pisaliśmy w artykule Hakerzy Korei Północnej penetrują branżę przemysłu obronnego.