Chińscy cyberszpiedzy atakowali jednostki wojskowe

Bitdefender ustalił, iż działania Naikon wymierzone przeciwko instytucjom w Filipinach, Malezji, Indonezji, Singapurze i Tajlandii, były prowadzone od czerwca 2019 do marca 2021 roku. Na początku operacji cyberszpiedzy wykorzystali malware Nebulae oraz Aria-body. Ten ostatni przekazywał napastnikom ustawienia systemu ofiary oraz tworzył wpisy w rejestrze.

– Dane, które do tej pory zgromadziliśmy, nie mówią nam zbyt wiele o roli Nebulae w tej operacji. Jednak wykryta obecność mechanizmu trwałego może oznaczać, że jest on używany jako zapasowy punkt dostępu do ofiary. ” – tłumaczy Victor Vrabie, badacz Bitdefender.

Napastnicy dodatkowo włączyli do swojego zestawu narzędzi backdoora RainyDay. Hakerzy z Naikon za jego pośrednictwem przeprowadzali rekonesans, uruchamiali odwrotny serwer proxy i skanery oraz wprowadzali narzędzia do zrzutu haseł. Wszystko po to, aby naruszyć sieci ofiar i wydobyć z nich cenne informacje.

Chińscy cyberszpiedzy – poważny atak na wojsko

Oprócz dodatkowych ładunków w zainfekowanych systemach, atakujący mogą również wysyłać polecenia RainyDay przez TCP lub HTTP w celu manipulowania usługami, uzyskiwania dostępu do powłoki poleceń, odinstalowywania złośliwego oprogramowania, wykonywania i zbierania zrzutów ekranu oraz manipulowania, pobierania lub wysyłania plików. W czasie ataków przeprowadzonych pomiędzy czerwcem 2019 a marcem 2021 roku Naikon pozostawiał złośliwe ładunki wykorzystując luki w bibliotekach DLL, które występowały w następujących systemach:

– Sandboxie COM Services (BITS) (SANDBOXIE)
– Outlook Item Finder (Microsoft)
– VirusScan On-Demand Scan Task Properties (McAfee.)
– Mobile Popup Application (Quick Heal Technologies )
– ARO 2012 Tutorial

Bitdefender jest pewny, że operacje przeprowadził Naikon. Świadczą o tym serwery zarządzające i kontrolujące oraz oprogramowanie Aria-Body wcześniej używane przez tę grupę hakerów. Wiele też wskazuje na to, że Naikon jest sponsorowany przez chiński rząd, a działalność cyberszpiegów obejmuje ataki na instytucje rządowe oraz organizacje militarne.