Grupa hakerów sponsorowana przez Chiny rozsyłała wiadomości phishingowe do użytkowników w Indiach. Ich treść odnosiła się do tematów związanych z koronawirusem oraz zmian prawnych w tym kraju, co miało przykuć uwagę odbiorców. Analizując kampanię należy brać pod uwagę wątek geopolityczny.
APT41 to prężnie rozwijająca się grupa sponsorowana przez Chiny, która już w 2012 roku zapisała się dużymi zgłoskami w świecie cyberprzestępczym. Odnotowano wtedy jej pierwsze kampanie umotywowane finansowo lub wynikające ze szpiegostwa. Za cel wybiera podmioty z całego świata, zwłaszcza z branży telekomunikacyjnej, ochrony zdrowia, edukacji i turystycznej.
Przynętą COVID-19 i zmiany prawne
Eksperci BlackBerry wskazują, że APT41 często posługuje się wiadomościami phishingowymi, zawierającymi zainfekowane załączniki jako początkowy wektor araku. Po uzyskaniu dostępu do sieci celu, członkowie grupy zazwyczaj instalują bardziej złożonego wirusa, który ma zagwarantować im trwałą obecność w systemie ofiary.
W ramach najnowszej kampanii specjaliści odkryli „przynęty” (wiadomości phishingowe), jakimi posługiwało się APT41. Były one skierowane do indyjskich użytkowników, a ich treść odnosiła się do nowych przepisów podatkowych oraz statystyk dotyczących zachorowań na COVID-19 w tym kraju. Członkowie grupy starali się podszyć pod indyjskie instytucje rządowe, rozsyłając pliki PDF, zawierające złośliwe oprogramowanie.
Analiza kampanii pokazuje, że grupa APT41 cały czas prowadzi wrogie działania i prawdopodobnie się to nie zmieni w przyszłości.
Przejaw chińsko-indyjskiego sporu
Cytowany przez CyberScoop Tom Bonner, ekspert BlackBerry, podkreślił, że cyberataki mogą mieć związek z napiętymi relacjami między Pekinem a New Delhi. Jego zdaniem, analizując tego typu działania należy brać również pod uwagę wątek geopolityczny. W tym przypadku mówimy o m.in. sporze o chińsko-indyjską granicę.
O wzroście liczby cyberataków między oboma krajami informowaliśmy już wcześniej na łamach naszego portalu. Przykładem mogą być działania prowadzone przez hakerów powiązanych z Państwem Środka, którzy włamali się do indyjskich podmiotów, w tym konglomeratu medialnego „The Times Group”, jednego z wydziałów policji i agencji rządowej, nadzorującej krajową bazę danych (popularnie zwaną „Aadhaar”).
Cele nie były przypadkowe. Specjaliści Recorded Future jednoznacznie podkreślili, że hakerzy zaatakowali „Aadhaar” ze względu na przechowywane w niej informacje, w tym m.in. dane biometryczne ponad 1 mld Hindusów. Są one szczególnie cenne dla podmiotów działających na zlecenie innego państwa. Mogą posłużyć np. do identyfikacji konkretnych osób, realizacji operacji wywiadowczych czy zaplanowania precyzyjnej kampanii z wykorzystaniem socjotechniki.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.