Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

AktualnościBezpieczeństwo w InternecieBlog

Chińscy cyberszpiedzy atakowali jednostki wojskowe

Szymon Czudowski

29 kwietnia 2021

Bitdefender ustalił, iż działania Naikon wymierzone przeciwko instytucjom w Filipinach, Malezji, Indonezji, Singapurze i Tajlandii, były prowadzone od czerwca 2019 do marca 2021 roku. Na początku operacji cyberszpiedzy wykorzystali malware Nebulae oraz Aria-body. Ten ostatni przekazywał napastnikom ustawienia systemu ofiary oraz tworzył wpisy w rejestrze.

– Dane, które do tej pory zgromadziliśmy, nie mówią nam zbyt wiele o roli Nebulae w tej operacji. Jednak wykryta obecność mechanizmu trwałego może oznaczać, że jest on używany jako zapasowy punkt dostępu do ofiary. ” – tłumaczy Victor Vrabie, badacz Bitdefender.

Napastnicy dodatkowo włączyli do swojego zestawu narzędzi backdoora RainyDay. Hakerzy z Naikon za jego pośrednictwem przeprowadzali rekonesans, uruchamiali odwrotny serwer proxy i skanery oraz wprowadzali narzędzia do zrzutu haseł. Wszystko po to, aby naruszyć sieci ofiar i wydobyć z nich cenne informacje.

Chińscy cyberszpiedzy – poważny atak na wojsko

Oprócz dodatkowych ładunków w zainfekowanych systemach, atakujący mogą również wysyłać polecenia RainyDay przez TCP lub HTTP w celu manipulowania usługami, uzyskiwania dostępu do powłoki poleceń, odinstalowywania złośliwego oprogramowania, wykonywania i zbierania zrzutów ekranu oraz manipulowania, pobierania lub wysyłania plików. W czasie ataków przeprowadzonych pomiędzy czerwcem 2019 a marcem 2021 roku Naikon pozostawiał złośliwe ładunki wykorzystując luki w bibliotekach DLL, które występowały w następujących systemach:

– Sandboxie COM Services (BITS) (SANDBOXIE)
– Outlook Item Finder (Microsoft)
– VirusScan On-Demand Scan Task Properties (McAfee.)
– Mobile Popup Application (Quick Heal Technologies )
– ARO 2012 Tutorial

Bitdefender jest pewny, że operacje przeprowadził Naikon. Świadczą o tym serwery zarządzające i kontrolujące oraz oprogramowanie Aria-Body wcześniej używane przez tę grupę hakerów. Wiele też wskazuje na to, że Naikon jest sponsorowany przez chiński rząd, a działalność cyberszpiegów obejmuje ataki na instytucje rządowe oraz organizacje militarne.


Autor


Szymon Czudowski

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy