Cyberbezpieczeństwo
Chińscy hakerzy atakują placówki dyplomatyczne Ameryki Południowej
Chińscy hakerzy działający na zlecenie rządu w ramach grupy znanej jako DEV-0147 atakują placówki dyplomatyczne w Ameryce Południowej. Korzystają przy tym z trojana ShadowPad, pozwalającego na zdalny dostęp do atakowanych urządzeń.
Chińscy cyberprzestępcy, działający w ramach gangu DEV-0147 sponsorowanego przez państwo wzięli na celownik instytucje i placówki dyplomatyczne w Ameryce Południowej – informuje koncern Microsoft.
Ataki prowadzone są z wykorzystaniem wirusa typu trojan RAT (Remote Access Trojan) pozwalającego na zdalny dostęp do urządzeń-ofiar. Nazywa się on ShadowPad, ale znany jest także pod inną „marką" – PoisonPlug.
Czytaj też
Cyberszpiegostwo w kolejnej odsłonie
Zdaniem Microsoftu, grupa nastawiona jest na pozyskiwanie danych z atakowanych podmiotów, przede wszystkim – placówek dyplomatycznych. Uprzednio gang ten zajmował się atakowaniem think-tanków z Europy i Azji, a także agencji rządowych; chodzi zatem z dużą dozą pewności o dane, które mogą pozwolić Pekinowi dowiedzieć się więcej na temat celów politycznych państw, które znalazły się na celowniku hakerów.
Czytaj też
Jak atakują Chiny?
Z technicznego punktu widzenia, jak twierdzi koncern z Redmond, DEV-0147 wykorzystuje trojana RAT ShadowPad, który wcześniej był już wykorzystywany przez inne gangi cyberprzestępców, działających na zlecenie chińskiego rządu. Pozwala on na utrzymanie ciągłej obecności w atakowanych komputerach.
Ataki wspomagane są przez QuasarLoader – skrypt pozwalający na pobieranie innego złośliwego oprogramowania, gdy już cyberprzestępcy sforsują obronę ofiary. Do wytransferowywania danych gang korzysta z oprogramowania Cobalt Strike – dodaje Microsoft.
Czytaj też
Jak się chronić?
Celem ochrony przed aktywnością DEV-0147 firma zaleca użycie uwierzytelniania dwuskładnikowego oraz aktywację systemów Microsoft Defender. Microsoft zaznacza przy tym, że DEV-0417 to nie jedyna chińska grupa hakerska, która wykorzystuje trojana ShadowPad.
Serwis Infosecurity Magazine pisze przy tym, że firma Secureworks twierdzi iż to złośliwe oprogramowanie ewoluowało z PlugX, który chętnie był wykorzystywany przez chińskich hakerów powiązanych z wojskiem i ministerstwem bezpieczeństwa państwa ChRL.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].