Polityka i prawo

E-mail ze złośliwym załącznikiem od chińskich hakerów

fot. antonynjoro / pixabay
fot. antonynjoro / pixabay

Administracje krajów azjatyckich celem ataków hakerskich? Działająca conajmniej od 2017 r. grupa hakerska Rancor, działa z użyciem techniki spear phishingu, czyli spersonalizowanego oszustwa - wynika z badań firmy z branży cyberbezpieczeństwa Check Point.

Nową serię ataków wykryto na początku tego roku. Atak Rancoru na instytucje rządowe w krajach Azji Południowo-Wschodniej trwał siedem miesięcy. Wcześniej hakerzy z tej grupy atakowali już cele w Singapurze i Kambodży, które według specjalistów należy zaliczyć do działań wywiadowczych.

Zdaniem Check Pointu ataki chińskich hakerów zaczynają się od wysyłania e-maili rzekomo nadawanych przez pracowników różnych departamentów instytucji państwowych, ambasad oraz innych podmiotów powiązanych z państwami regionu. Kampania Rancoru ma charakter silnie ukierunkowany, gdyż - jak wskazuje firma - nadano dziesiątki e-maili adresowanych do pracowników jednego resortu, z użyciem najprawdopodobniej sfałszowanego adresu serwera poczty wychodzącej, co miało dodatkowo uwiarygadniać korespondencję.

W okresie siedmiu miesięcy trwania kampanii hakerzy wykorzystywali różne metody, które opierały się jednak na tym samym schemacie wysyłki e-maila ze złośliwym załącznikiem w formacie RTF, DOC lub XLS ze złośliwymi makrami. Dokumenty te były używane jako nośniki dla wirusów, które miały infekować systemy komputerowe ofiar wykorzystując znane luki w zabezpieczeniach. Większość dokumentów, które hakerzy wykorzystywali jako przynętę, zawierała treści powiązane z działalnością instytucji państwowych, takie jak np. instrukcje dla pracowników, oficjalne pisma, komunikaty prasowe itd.

Kampania została zawieszona w lutym 2019 roku - zwracają uwagę eksperci. Wówczas wypada chiński Nowy Rok, co dla ekspertów z Check Point stanowi dodatkowy argument za przypisaniem działalności grupy Rancor do Chin. Ich zdaniem działania hakerów z tego ugrupowania będą nadal ewoluować, a procedury - zmieniać się, gdyż cyberprzestępcy nieustannie starają się poszukiwać nowych metod obchodzenia zabezpieczeń systemów, a także unikać powiązania ich działalności z obserwowanymi atakami. 

Źródło:
PAP

Komentarze