Ujgurové terčem kyberútoků, stopy vedou k čínsky mluvícím hackerům

  • Výzkumníci objevili škodlivý dokument s názvem „UgyhurApplicationList.docx“, který obsahuje i logo Rady OSN pro lidská práva.
  • Útočníci vytvořili falešnou organizaci pro lidská práva s názvem TCAHF, která se zaměřuje na Ujgury žádající o granty.
  • Za útoky pravděpodobně stojí čínsky mluvící hackeři.

PRAHA – 27. května 2021 — Check Point Research, výzkumný tým kyberbezpečnostní společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), odhalil ve spolupráci s výzkumníky z týmu Kaspersky Global Research & Analysis Team vlnu kyberútoků zaměřenou na Ujgury v Sin-ťiangu, Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor a hackeři získají přístup prakticky ke všem informacím, zároveň mohou do zařízení stáhnout další malware.

Výzkumníci identifikovali dva způsoby infekce:

  1. Škodlivé dokumenty, které jsou většinou rozesílané e-mailem a v případě otevření a povolení editace stáhnou do počítače backdoor.
  2. Webové stránky falešné nadace se snaží přesvědčit návštěvníky, aby si před vyplněním citlivých informací v žádosti o grant stáhli podvodný bezpečnostní skener.

Škodlivý dokument s motivem OSN

Bezpečnostní odborníci odhalili škodlivý dokument s tématikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.

Falešné webové stránky nadace pro lidská práva

Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation).  Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.

Falešná webová stránka (nahoře) a srovnání s původní stránkou (dole)

Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.

Odkazy ke stažení falešného bezpečnostního skeneru

Oběti

Výzkumníci odhadují, že kampaň je zaměřena na ujgurskou menšinu nebo organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, ale v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou.

Útočníci

Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.

Podobný kód makra na čínském fóru

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2021/uyghurs-a-turkic-ethnic-minority-in-china-targeted-via-fake-foundations/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.