Tajwan, Wietnam i USA na celowniku hakerów. Kto sponsoruje nową kampanię?

Grupa Grayling, którą wykryła firma Symantec, atakuje Tajwan, USA, Wietnam i wyspy na Pacyfiku. Wcześniej nie była znana badaczom cyberbezpieczeństwa - podkreśla serwis The Record.

Do jej celów należą przede wszystkim podmioty z sektora produkcji przemysłowej, IT, a także badań biomedycznych. Z ogromną dozą pewności działalność grupy Grayling sponsorowana jest przez jeden z reżimów państwowych.

Jak działa grupa Grayling?

Przede wszystkim - jak wynika z wiedzy pozyskanej przez Symanteca - korzysta z dostosowanego do indywidualnych potrzeb złośliwego oprogramowania, ale także publicznie dostępnych narzędzi.

Tego rodzaju zestaw pozwala na osiąganie wysokiej efektywności.

Ataki grupy Grayling rozpoczęły się w lutym. Aktywność jej była odnotowywana dalej w maju, a obserwacje te - jak podkreślają specjaliści - byłe możliwe właśnie ze względu na użycie własnego malware.

Celem działania cyberprzestępców jest według specjalistów działalność cyberszpiegowska, nie zaś motywacje finansowe, jak to bardzo często bywa.

Kogo atakują hakerzy?

Jak już wspomnieliśmy, podmioty z kilku branż. To przede wszystkim przemysł - produkcja, IT, sektor biomedyczny na Tajwanie, a także jedna z agencji rządowych zlokalizowanych na jednej z wysp na Pacyfiku. Celami były także rozmaite organizacje z Wietnamu i USA - podkreśla Symantec.

„Istnieją wskazówki dowodzące, że Grayling może wykorzystywać luki w publicznej części infrastruktury i w ten sposób pozyskiwać początkowy dostęp do maszyn ofiar” - twierdzi firma.

Jak dodają specjaliści, „atakujący wykonują po uzyskaniu dostępu różne czynności, w tym eskalują przywileje, skanują sieć i wykorzystują downloadery do pobierania kolejnego złośliwego oprogramowania”.

Wiadomo, że Grayling korzysta z narzędzia Havoc, które jest publicznie dostępne i bazuje na architekturze otwartoźródłowej. Innym narzędziem wykorzystywanym przez Grayling jest spyware NetSpy, które wykorzystuje popularną podatność w systemie Windows, znaną jako CVE-2019-0803.

Cyberszpiegostwo - kolejna odsłona

Symantec wskazuje, że z dotychczasowej aktywności grupy Grayling nie wynika, że dokonano eksfiltracji danych z atakowanych systemów, jednak mimo tego można spodziewać się, iż jej działalność to czyste cyberszpiegostwo.

Specjaliści nie przypisują aktywności ugrupowania do działań określonego państwa, choć wiadomo, że za działalnością hakerów stoi jeden z reżimów. Jak twierdzi Symantec, atrybucji można dokonać spoglądając na rozkład celów, a że znajduje się wśród nich Tajwan, to warto w tym kontekście przemyśleć, jakie państwo ma interes w pozyskiwaniu danych ze strategicznych sektorów na Tajwanie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].