Armia i Służby
Podmioty wojskowe w Azji szpiegowane przez Chiny
Hakerzy powiązani z Chinami stoją za najnowszą kampanią cyberszpiegowską, wymierzoną w organizacje wojskowe zlokalizowane w regionie Azji Południowo-Wschodniej. Głównym celem grupy jest kradzież informacji, w tym danych logowania, poprzez wykorzystanie do tego celu backdoorów.
Zdaniem specjalistów firmy Bitdefender za wrogie działania odpowiada grupa „Naikon”, która działa od ponad dekady. Jej hakerzy w ocenie ekspertów są powiązani z Chinami, a operacje koncentrują się na kluczowych podmiotach innych państw, w tym agencjach rządowych czy organizacjach wojskowych w regionie Azji Południowej.
W ramach najnowszej kampanii celem były przede wszystkim podmioty z sektora wojskowego zlokalizowane w południowo-wschodniej części Azji. Hakerzy działania prowadzili od czerwca 2019 roku do marca br. Jak wskazują specjaliści Bitdefender, w pierwszych etapach operacji grupa wykorzystywała wirusy o nazwie Aria-Body oraz Nebulae jako początkowy wektor ataku. Jednak od września ub. r. do zestawu narzędzi włączono również backdoora RainyDay. Eksperci jednoznacznie ocenili, że głównym założeniem kampanii było szpiegostwo i kradzież danych.
Analiza wrogich działań wykazała, że RainyDay był używany przez hakerów przede wszystkim do rozpoznania sieci, a także instalacji określonych ładunków, umożliwiających np. kradzież haseł lub innych wrażliwych informacji.
Hakerzy starali się ukryć backdoora, podszywając się pod legalne aplikacje. „Zamiar ukrycia się za pomocą legalnego oprogramowania zaobserwowano podczas instalacji narzędzi do eksfiltracji danych” – wskazują specjaliści. Z kolei Nebulae to wirus, który pozwala grupie na zachowanie trwałego dostępu do zainfekowanej sieci.
To kolejna w ostatnim czasie kampania szpiegowska Chin, o której informujemy na naszym portalu. W połowie kwietnia w jednym z materiałów omówiliśmy działania co najmniej dwóch grup hakerskich powiązanych z Państwem Środka, które wykorzystały luki w zabezpieczeniach oprogramowania VPN firmy Pulse Secure, w celu uzyskania dostępu do sieci i systemów podmiotów z sektora obronnego, rządowego i finansowego z całego świata. Ich głównym celem były jednak Stany Zjednoczone.
Na wagę problemu zwróciła uwagę m.in. amerykańska Agencję ds. Cyberbezpieczeństwa i Infrastruktury (CISA). Jej zdaniem wykorzystanie wskazanych podatności przez hakerów umożliwia im obejście uwierzytelniania, w tym wieloskładnikowego, a także kradzież informacji, takich jak np. dane logowania.