Čínští hráči kyberšpionáže se vracejí na scénu

8. dubna 2021 – V červnu 2020 odhalili analytici společnosti Kaspersky pokročilou kybernetickou špionážní kampaň zaměřenou na vládní a vojenský sektor ve Vietnamu. Záměrem bylo nasadit do systémů program umožňující vzdálenou správu, který poskytuje plnou kontrolu nad infikovaným zařízením. Další analýza naznačila, že tuto kampaň provedla skupina spojená s Cycldekem, čínsky mluvící hackerskou skupinou aktivní nejméně od roku 2013.

Čínsky mluvící hackerské skupiny spolu často sdílejí své techniky a metody, což analytikům společnosti Kaspersky usnadňuje hledání aktivit v oblasti pokročilých trvalých hrozeb (APT), které souvisejí se známými kyberneticko-špionážními skupinami, jako LuckyMouse, HoneyMyte a Cycldek. Okamžitě tedy zaznamenali, že se při útoku ve Vietnamu znovu objevila jedna z už známých taktik spojená s DLL triádou.

DLL nebo dynamické knihovny jsou části kódu určené k použití jinými programy v počítači. Při bočním načítání DLL se legitimně podepsaný soubor (například z aplikace Microsoft Outlook) zneužije k načtení škodlivé knihovny DLL, což umožňuje útočníkům obejít zabezpečení. Při tomto útoku spustí infikovaný DLL řetězec škodlivý shellcode, který dešifruje finální program: trojan umožňující vzdálený přístup, který dává útočníkům plnou kontrolu nad infikovaným zařízením – tým Kaspersky ho pojmenoval FoundCore.

Ještě zajímavější než tento nový typ útoku byla metoda použitá k ochraně škodlivého kódu před odhalením – metoda, která signalizuje zásadní pokrok v sofistikovanosti útočníků v této oblasti. Záhlaví (cíl a zdroj kódu) koncového programu zcela odstranili a to málo  informací, které zůstalo, obsahovalo nesouvislé hodnoty. Útočníci tím analytikům výrazně ztěžují  zpětné prozkoumání malwaru. Navíc jsou komponenty řetězce infekce pevně spojené, což znamená, že jednotlivé části je obtížné analyzovat izolovaně, a znemožňuje to úplnou analýzu útoku.

Vědci společnosti Kaspersky také zjistili, že řetězec infekcí instaluje další dva malwary. První, DropPhone, shromažďuje informace o prostředí z cílových zařízení a odesílá je do DropBoxu. Druhým je CoreLoader, který spouští kód, který pomáhá malwaru uniknout detekci.

Tato škodlivá kampaň zasáhla desítky počítačů, z toho 80 % ve Vietnamu. Většina z nich patřila vládnímu nebo vojenskému sektoru, v menší míře také subjektům ve zdravotnictví, školství nebo politice. Další zjištěné cíle byly ve Střední Asii a v Thajsku.

„Na základě porovnání dříve nalezeného malwaru s malwarem RedCore, který jsme objevili v loňském roce, připisujeme kampaň s nízkou jistotou Cycldku, který jsme dosud považovali za méně sofistikovaného čínsky mluvícího aktéra provádějícího kyberneticko-špionážní kampaně v tomto regionu. Tato nedávná aktivita však signalizuje zásadní skok v jejich schopnostech,“ říká Ivan Kwiatkowski, senior analytik bezpečnosti v Globálním týmu pro výzkum a analýzu společnosti Kaspersky (GReAT).

„Za poslední rok jsme zaznamenali, že mnoho z těchto čínsky mluvících skupin investuje více prostředků do kampaní a zdokonaluje své technické možnosti. A to signalizuje, že se budou pravděpodobně snažit o rozšíření svých aktivit. Aktuálně se může zdát, že jde spíš o lokální hrozbu, ale je velmi pravděpodobné, že backdoor FoundCore se v budoucnu objeví ve více zemích v různých regionech,“ dodává Mark Lechtik, senior analytik bezpečnosti v GReAT.

„Navíc můžeme očekávat – vzhledem k tomu, že tyto čínsky mluvící skupiny spolu sdílejí své postupy, že najdeme podobnou taktiku i při jiných útocích. Budeme pečlivě sledovat podobné podezřelé aktivity. Naše doporučení pro firmy ve všech regionech je udržovat svou ochranu aktuální a průběžně sledovat dostupné informace,“ doporučuje Pierre Delcher, senior analytik bezpečnosti v GReAT.

Více o skupině Cycldek je k nalezení v článcích na Securelist.com. Podrobné informace o detailech hackerských útoků lze získat na portálu Kaspersky Threat Intelligence Portal.

Chcete-li vidět rozbor tohoto malwaru souvisejícího s Cycldek v akci a naučit se zpětně analyzovat (reverse engineering) ve stylu odborníků z GReAT, můžete se 8. dubna v 16:00 h (CET) připojit k workshopu zaměřenému na malwarové reverzní inženýrství. Tento webinář bude ukázkou z nového špičkového kurzu pro středně pokročilé připraveného týmem společnosti Kaspersky. Další informace najdete na https://xtraining.kaspersky.com.

Abyste společnost chránili před pokročilými útoky, jako jsou tyto, odborník společnosti Kaspersky doporučuje následující opatření:

  • Nainstalujte řešení anti-APT a EDR, která umožňují zjišťování a detekci hrozeb, vyšetřování a včasnou nápravu incidentů. Poskytněte svému týmu SOC přístup k nejnovějším informacím o hrozbách a pravidelně je zdokonalujte odborným školením. Všechno výše uvedené je k dispozici v rámci aplikace Kaspersky Expert Security framework.

O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na http://www.kaspersky.com.