Čínski hackeri vykonali na úrovni krajiny zavlažovanie Hole Attack

Výskumní pracovníci v oblasti kybernetickej bezpečnosti odhalili špionážnu kampaň, ktorá sa zamerala na národné dátové centrum nemenovanej krajiny strednej Ázie s cieľom vykonať útoky na dierovanie. Predpokladá sa, že kampaň bude od jesene 2017 účinná, ale v marci ich videli vedeckí pracovníci v oblasti bezpečnosti z firmy Kaspersky Labs, ktorí tieto útoky pripísali skupine čínsky hovoriacej skupiny ohrozujúcej hrozbu LuckyMouse.

LuckyMouse, tiež známy ako Iron Tiger, EmissaryPanda, APT 27 a Threat Group-3390, je tá istá skupina čínskych hackerov, ktorá sa začiatkom tohto roku zamerala na ázijské krajiny s Bitcoin banským malware. Skupina je aktívna minimálne od roku 2010 a bola za mnohými predchádzajúcimi útokmi, čo viedlo k odcudzeniu veľkého množstva údajov od riaditeľov a manažérov dodávateľov obrany v USA. Tentoraz si skupina vybrala národné dátové centrum ako svoj cieľ z nemenovanej krajiny v strednej Ázii, aby sa pokúsila získať “prístup k širokej škále vládnych zdrojov za jeden úder”. Podľa vedcov skupina podala zlomyseľný kód JavaScript na oficiálnych vládnych webových stránkach spojených s dátovým centrom s cieľom vykonať útoky na dierovanie.

Aj keď LuckyMouse bol v minulosti zaznamenaný pomocou zraniteľnosti Microsoft Office, ktorá sa v minulosti zbavovala dokumentov kancelárie, výskumníci nemajú žiadne dôkazy o tom, že táto technika sa používa v tomto konkrétnom útoku proti dátovému centru. Počiatočný útokový vektor použitý pri útoku na dátové centrum je nejasný, ale vedci sa domnievajú, že LuckyMouse pravdepodobne vykonal zavlažovanie alebo phishingové útoky na kompromisné účty patriace zamestnancom v národnom dátovom centre. Útok na dátové centrum nakoniec infikoval cielený systém pomocou malware nazývaného HyperBro, vzdialený prístup Trojan nasadený pre udržanie vytrvalosti v cielenom systéme a pre vzdialené správy.

V infikovanom dátovom centre boli zaznamenané stopy HyperBrou od polovice novembra 2017. Krátko po tom, ako sa rôzni používatelia v krajine začali presmerovávať na škodlivú doménu update.iaacstudio.com v dôsledku vodonosenia vládnych webových stránok, uviedli vedci na blogovom príspevku. Tieto udalosti naznačujú, že dátové centrum infikované systémom HyperBro a kampaň s vodnou vodou sú pripojené.

V dôsledku útoku na vodné zdroje kompromitované vládne webové stránky presmerovali návštevníkov krajiny buď do súboru na testovanie penetrácie (Browser Exploitation Framework – BeEF), ktorý sa zameriava na webový prehliadač, alebo na rámcový prieskum ScanBox, ktorý vykonáva rovnaké úlohy ako keylogger.

Hlavný server príkazov a riadenia použitý v tomto útoku je umiestnený na adrese IP, ktorá patrí k ukrajinskému poskytovateľovi internetových služieb, konkrétne smerovaču MikroTik s verziou firmvéru, ktorá bola zverejnená v marci 2016. Vedci sa domnievajú, že smerovač Mikrotik bol explicitne napadnutý pre kampaň za účelom spracovania HTTP žiadostí o škodlivý softvér HyperBro bez detekcie.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *