A A A

Koń trojański na usługach Chin

8 sierpnia 2016, 13:30
Laboratoria F-Secure wykryły odmianę złośliwego oprogramowania, które prawdopodobnie atakuje podmioty zaangażowane w spór o Morze Południowochińskie toczący się między Filipinami a Chinami.
Koń trojański na usługach Chin

„Wygląda na to, że ten zaawansowany atak APT (advanced persistent threat) jest ściśle powiązany ze sporem i postępowaniem pomiędzy Filipinami a Chinami o Morze Południowochińskie" - mówi Erka Koivunen, doradca ds. cyberbezpieczeństwa w F-Secure. „Nie dość, że wszystkie zaatakowane organizacje są z tą sprawą w jakiś sposób związane, to jego pojawienie się zbiega się w czasie ze zdarzeniami i publikacją wiadomości na temat wyników postępowania przed Trybunałem w Hadze" - tłumaczy ekspert z F-Secure.

Wśród zaatakowanych organizacji wymienionych w raporcie znalazły się:

- filipińskie Ministerstwo Sprawiedliwości, które było zaangażowane w sprawę zgłoszoną przez Filipiny przeciwko Chinom;

- organizatorzy szczytu państw Azji i Pacyfiku APEC (Asia-Pacific Economic Cooperation), który odbył się na Filipinach w listopadzie 2015 roku;

- duża międzynarodowa firma prawnicza.

Analiza techniczna wykazała powiązanie z kodem i infrastrukturą pochodzącymi od deweloperów z Chin. Dodatkowo, infiltrowane organizacje są bezpośrednio powiązane ze sprawami, które leżą w strategicznym interesie chińskiego rządu. Wszystkie te przesłanki skłaniają badaczy F-Secure do przypuszczeń, że złośliwe oprogramowanie jest pochodzenia chińskiego.

„Jeśli podejrzenia naszych badaczy są właściwe, oznaczałoby to, że Chińczycy stosują techniki cyberszpiegowskie, aby uzyskać lepszy wgląd w kulisy postępowania arbitrażowego" - mówi Koivunen.

NanHaiShu jest rozprowadzany poprzez spersonalizowane wysyłki e-mailowe (spear phishing), które zawierają terminologię branżową charakterystyczną dla atakowanych organizacji, co wskazuje na to, że e-maile zostały specjalnie przygotowane z myślą o konkretnych odbiorcach. Plik załączany do e-maili zawiera złośliwe makro, które uruchamia wbudowany plik JScript. Po zainstalowaniu NanHaiShu wysyła dane z zainfekowanej maszyny na zdalny serwer i może pobrać dowolny plik, który wybierze haker.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL


Krzysztof Mocek
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności

Tor się odwołuje
25 stycznia 2022
Przedstawiciele projektu Tor odwołają się od decyzji blokującej dostęp do sieci.



Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto