Cyberbezpieczeństwo

Operacja cyberszpiegowska Chin. Wymierzona w energetykę

Fot. Nicholas Doherty / Unsplash

Chińscy hakerzy działający w ramach rozbudowanej operacji cyberszpiegowskiej przez niemal dekadę szpiegowali urzędników, sektor energii i pracowników produkcji w regionie Australii oraz Azji i Pacyfiku. W działania zaangażowana ma być grupa TA423, operująca złośliwym oprogramowaniem ScanBox.

ScanBox to malware, które służy do rekonesansu i zdobywania informacji o kolejnych atrakcyjnych dla operacji cyberszpiegowskich celach.

Jego operatorzy – grupa hakerska TA423, znana także jako Red Landon czy APT40, to cyberprzestępcy, działający na zlecenie chińskiego rządu. Według wspólnego raportu firm PwC Threat Intelligence i Proofpoint, działali oni od niemal dekady, wykorzystując m.in. techniki takie jak phishing i fałszywe strony internetowe, podszywające się pod portale informacyjne.

Czytaj też

Osiem lat chińskich cyberoperacji

W początkowym okresie działalności, który można datować na 2013 rok, hakerzy specjalizowali się przede wszystkim w szpiegostwie wycelowanym w podmioty w regionie Morza Południowo-Chińskiego. Ofiary grupy APT40 pochodzą jednak z całego świata – pisze serwis Cyber Scoop .

Ostatnia kampania tych hakerów datowana może być na okres pomiędzy kwietniem a czerwcem tego roku, a sprawcy skoncentrowali się na celach związanych z ciężkim przemysłem energetycznym – branżą utrzymania turbin wiatrowych na Morzu Południowo-Chińskim.

Fałszywe wiadomości z Australii

W swoich działaniach posługiwali się fałszywą stroną internetową podszywającą się pod australijski serwis informacyjny – Australian Morning News. W witrynie można było znaleźć zagregowane wiadomości, pochodzące z wiarygodnych outletów medialnych.

Czytaj też

Wcześniej w ten sam sposób grupa APT40 działała w Kambodży w 2018 roku – twierdzą badacze zajmujący się analizą działalności tego ugrupowania hakerskiego.

Posługiwali się również socjotechniką, a konkretniej – phishingiem, w ramach którego wysyłane były fałszywe maile poświęcone np. zwolnieniom lekarskim czy prośbom o współpracę, które kierowane były do pracowników firm związanych z branżą turbin, urzędników i innych podmiotów.

Za pośrednictwem fałszywych maili przestępcy instalowali na komputerach swoich ofiar malware ScanBox, które potrafi gromadzić informacje o wszystkim, co wpisywane jest na klawiaturze zainfekowanego urządzenia, a także zbierać dane na temat tego, co ofiara robi np. w internecie. Grupa APT40 działa przy pomocy tego oprogramowania od co najmniej 2014 roku – dodaje serwis.

Czytaj też

Według analizy firmy PwC, ScanBoxem posługiwali się również sprawcy innych operacji szpiegowskich, realizowanych przez Chiny w ciągu ostatnich kilku lat. Robiła to m.in. wykryta przez Proofpoint grupa TA413, której celem były organizacje broniące idei niepodległego Tybetu z całego świata.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także