Chińscy hakerzy atakują rządowe sieci. Wykorzystują Google Drive

Hakerzy działający na zlecenie Pekinu uruchomili w ostatnim czasie kampanię spearphishingową, której celem jest dostarczanie specjalnie spreparowanego złośliwego oprogramowania osobom związanym z administracją rządową innych państw, a także badaczom, naukowcom i organizacjom z sektora nauki - informuje Bleeping Computer.

Ataki zaobserwowano od marca do października tego roku. Eksperci z firmy Trend Micro przypisali je grupie cyberprzestępczej Mustang Panda, znanej również jako Bronze President czy TA416.

Celem działań hakerów są podmioty z państw takich, jak Australia, Japonia, Tajwan, Mjanma (Birma) i Filipiny – podaje serwis.

Jak działają cyberprzestępcy?

Hakerzy działający na zlecenie Pekinu wykorzystywali konta Google do wysyłania specjalnie spreparowanych wiadomości e-mail swoim ofiarom. Ich celem było doprowadzenie do tego, aby odbiorca kliknął w link – następnie na jego komputer pobierało się złośliwe oprogramowanie przechowywane na Google Drive.

Według Trend Micro, wśród tytułów fałszywych maili dominowała tematyka geopolityczna, a większość z nich – 84 proc. – była adresowana do przedstawicieli administracji rządowej lub organizacji prawniczych.

Zarówno Google Drive, jak i inna usługa wykorzystywana przez cyberprzestępców – Dropbox – cieszą się dobrą reputacją, a linki do nich nie są eliminowane przez pocztę elektroniczną jako podejrzane lub zawierające spam. Dlatego właśnie sprawcy postanowili skorzystać z tych darmowych usług w swojej kampanii – pisze Bleeping Computer .

Linki zawarte w wiadomościach pobierały na komputer ofiary pliki w formatach .zip, .rar lub .jar zawierające złośliwe oprogramowanie takie jak ToneShell, ToneIns czy PubLoad.

Tylko ten ostatni rodzaj został wcześniej zaobserwowany i udokumentowany przez inną firmę zajmującą się cyberbezpieczeństwem – Cisco Talos. Ujęła go ona w swoim raporcie z maja 2022 roku i wskazała, że to złośliwe oprogramowanie często jest wykorzystywane przeciwko celom w Europie.

Kto na celowniku?

Aktywność grupy Mustang Panda też została już wcześniej zauważona – firma Secureworks wskazywała, że jej celem są rosyjscy urzędnicy, spółka Proofpoint informowała o tym, że na celowniku tych hakerów znajdują się wysocy rangą dyplomaci z Europy, a w marcu tego roku firma ESET pochyliła się nad działalnością tego gangu w Azji Południowo-Wschodniej, południowej części Europy i w Afryce.

Jak wskazali eksperci, Mustang Panda to przede wszystkim gang cyberszpiegowski, który stał się globalnym zagrożeniem – pomimo tego, że jego aktywność obejmuje realizację krótkich i bardzo precyzyjnie ukierunkowanych kampanii.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].