Polityka i prawo
Cyberataki wietnamskich hakerów. Kampania trwa, a specjaliści „rozkładają ręce”
Wietnamscy hakerzy powiązani z rządem wykorzystywali do ataków nowego backdoora dedykowanego dla systemu MacOS. Podczas trwającej kampanii za jego pomocą wykradają dane z zainfekowanych urządzeń ofiar pochodzących z Wietnamu. To nie jedyna operacja, za którą odpowiadają członkowie grupy „Ocean Lotus”.
Specjaliści Trend Micro odkryli nowego backdoora, którego powiązali z grupą wietnamskich hakerów powiązanych z rządem – „Ocean Lotus”. Podatność dotyczy systemu MacOS (Backdoor.MacOS.OCEANLOTUS.F), a specjaliści nie opracowali jeszcze rozwiązania chroniącego użytkowników przed działalnością cyberszpiegów – wskazano w raporcie „New MacOS Backdoor Connected to OceanLotus Surfaces”.
Po raz pierwszy działalność grupy „Ocean Lotus” odkryto w 2017 roku. Od tego czasu ugrupowanie stało się jedną z najbardziej wyrafinowanych grup hakerskich odpowiedzialnych za prowadzenie kampanii szpiegowskich.
Podczas najnowszej kampanii hakerzy odpowiadają za ukierunkowane cyberataki wymierzone w podmioty z takich branż, jak media, środowisko naukowe oraz budownictwo. „Ocean Lotus” wykorzystuje zainfekowane witryny do rozprzestrzeniania złośliwego oprogramowania dedykowanego pod system MacOS (na przykład mihannevis.com lub idtpl.org). Specjaliści podkreślają, że celem hakerów są użytkownicy z Wietnamu, ponieważ nazwa rozsyłanego dokumentu jest w języku wietnamskim.
Złośliwe oprogramowanie jest dostarczane na urządzenia w postaci aplikacji spakowanej w archiwum ZIP. Wirus został ukryty pod ikoną symbolizującą dokument programu Word. W ten sposób hakerzy chcieli wywołać u ofiar wrażenie, że plik jest bezpieczny.
Nowa wersja backdoora „Ocean Lotus” zawiera dwie główne funkcje. Pierwsza przeznaczona jest do zbierania informacji o systemie operacyjnym oraz innych danych z urządzenia (informacje o procesorze, pamięci, adresach interfejsów sieciowych oraz numerze seryjnym), a następnie przesyłania ich na zewnętrzny serwer. Droga służy do obsługi backdoora.
Wykorzystywanie przez „Ocean Lotus” zainfekowanych domen nie jest nowością. Hakerzy grupy od lat zakładają i zarządzają stronami internetowymi, które pozornie wydają się być wiarygodnie. Przykładem może być kampania, którą specjaliści Volexity wykryli na początku listopada br.
Wietnamscy cyberszpiedzy stworzyli 13 stron internetowych (w tym podróbki serwisów informacyjnych), które „na pierwszy rzut oka” wyglądały rzetelnie ze względu na szatę graficzną i samą treść. W rzeczywistości były jednak narzędziem rozpowszechniania złośliwego oprogramowania i śledzenia użytkowników, którzy je odwiedzali. Co ciekawe, najpopularniejsza z tych witryn miała nawet swój fanpage na Facebooku z ponad 20 000 obserwujących.
Fikcyjne strony przekierowywały odwiedzających na strony phishingowe i stanowiły główne źródło dystrybucji złośliwego oprogramowania na systemy Windows oraz macOSX. Głównym celem hakerów byli użytkownicy z Wietnamu oraz całej Azji Południowo-Wschodniej.