Chińskie szpiegostwo w Europie. Trwają cyberataki

Jak wskazują specjaliści firmy Symantec, wśród ofiar znajdują się podmioty rządowe, organizacje pozarządowe (NGO), religijne, a także firmy telekomunikacyjne, prawnicze i farmaceutyczne z wielu państw, w tym m.in. Europy (Czarnogóra, Włochy), Azji (Hongkong, Indie) i Ameryki Północnej (USA, Kanada). 

Interesująca jest duża liczba sektorów i regionów geograficznych, z których pochodzą organizacje, które cyberprzestępcy obrali sobie za cel. Specjaliści Symanteca podkreślają, że w przeszłości operacje APT10 były skupione na firmach związanych z Japonią. Jednak najnowsze odkrycie świadczy, że „Cykada” znacznie rozszerza swój katalog celów.

Kilkumiesięczna kampania

Skąd wiadomo, że za kampanią stoi chińska grupa? „Przypisanie tej aktywności do >>Cykady<< wynika z obecności w sieciach ofiar niestandardowego złośliwego oprogramowania, które powszechnie uznaje się, że jest narzędziem wyłącznie grupy >>APT<<” – podkreślają specjaliści. 

Z analizy wynika, że pierwsze cyberataki w ramach kampanii miały miejsce już w połowie ubiegłego roku. Widzimy więc, że wrogie działania trwają od kilku miesięcy. 

Szpiegostwo

Aby włamać się do sieci ofiar, w niektórych przypadkach członkowie APT10 wykorzystują niezałataną lukę w Microsoft Exchange. W momencie, gdy uda im się uzyskać dostęp do urządzeń, wdrażają różnorodne narzędzia, w tym backdoora „Sodamaster”. Jest on charakterystyczny dla „Cykady” i tylko przez nią używany od co najmniej 2020 roku. 

Eksperci Symantec zwracają uwagę, że w przypadku określonej liczby celów przedstawiciele grupy mogli być obecni w infrastrukturze ofiar nawet przez dziewięć miesięcy.

Zdaniem specjalistów kampania prowadzona jest z myślą o szpiegostwie.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.