Komunita Ujgurov v Číne a Pakistane bola predmetom prebiehajúcej špionážnej kampane, ktorej cieľom bolo oklamať ciele, aby si stiahli Windows zadné vrátka na zhromažďovanie citlivých informácií zo svojich systémov.
„Vynaložilo sa značné úsilie na zamaskovanie užitočného zaťaženia, či už vytvorením dodacích dokumentov, ktoré vyzerajú, že pochádzajú z Organizácie Spojených národov s použitím aktuálnych súvisiacich tém, alebo vytvorením webových stránok pre neexistujúce organizácie, ktoré tvrdia, že financujú charitatívne skupiny,“ uvádza sa spoločný výskum, ktorý dnes zverejnili Check Point Research a Kaspersky.
Ujguri sú turkická etnická menšina pochádzajúca zo strednej a východnej Ázie a sú uznávaní ako pôvodní z Ujgurskej autonómnej oblasti Sin-ťiang v severozápadnej Číne. Minimálne od roku 2015 vládne úrady umiestňujú región pod prísny dozor a státisíce ľudí umiestňujú do väzníc a internačných táborov, ktoré vláda nazýva „Centra odborného vzdelávania a prípravy“.
V priebehu rokov bola komunita tiež na konci série trvalých kybernetických útokov, ktoré využili reťaze zneužívania a zavlažovanie na inštaláciu spywaru určeného na zber a exfiltráciu citlivých údajov z e-mailových aplikácií a aplikácií na odosielanie správ, ako aj na drancovanie fotografií a prihlasovacích údajov. .
Začiatkom tohto marca, Facebook odhalila, že narušila sieť zlých aktérov využívajúcich jej platformu na zameranie sa na komunitu Ujgurov a nalákanie ich na stiahnutie škodlivého softvéru, ktorý by umožnil sledovanie ich zariadení, pričom „pretrvávajúcu operáciu“ pripisuje aktérovi hrozieb z Číny známemu ako Evil Eye.
Najnovšia kybernetická ofenzíva sleduje podobný modus operandi v tom, že útoky zahŕňajú posielanie návnadových dokumentov s tematikou OSN (“UgyhurApplicationList.docx”) cieľom pod zámienkou diskusie o porušovaní ľudských práv. Cieľom phishingovej správy je nalákať príjemcov na inštaláciu zadných vrátok Windows stroje.
V alternatívnom infekčnom vektore, ktorý výskumníci pozorovali, je falošná nadácia pre ľudské práva s názvom „Turkic Culture and Heritage Foundation“ („tcahf[.]org”) – s obsahom skopírovaným z nadácií otvorenej spoločnosti založenej Georgom Sorosom – bol použitý ako návnada na stiahnutie zadného vrátka .NET, ktorý sa tvári ako bezpečnostný skener, iba na pripojenie k vzdialenému serveru a prenos zhromaždených údajov, ktoré obsahuje systémové metadáta a zoznam nainštalovaných aplikácií a spustených procesov.
„Škodlivá funkcia webovej stránky TCAHF je dobre maskovaná a objaví sa iba vtedy, keď sa obeť pokúsi požiadať o grant,“ uviedli vedci. “Webová stránka potom tvrdí, že sa musí uistiť, že operačný systém je bezpečný pred zadaním citlivých informácií pre transakciu, a preto žiada obete, aby si stiahli program na skenovanie ich prostredia.”
Najmenej dve rôzne verzie Windows K dnešnému dňu boli zistené implantáty, jeden s názvom „WebAssistant“, ktorý bol k dispozícii na stiahnutie z nečestnej webovej stránky v máji 2020, a druhý variant s názvom „TcahfUpdate“, ktorý bol dostupný v októbri 2020.
Tieto dve firmy zaoberajúce sa kybernetickou bezpečnosťou nepripisovali útoky známej skupine hrozieb, ale pripisovali prieniky čínsky hovoriacemu protivníkovi s nízkou až strednou istotou na základe prekrývania sa v kóde VBA vloženom do dokumentu Word. Na základe telemetrických údajov zhromaždených počas analýzy bolo doteraz identifikovaných iba niekoľko obetí v Číne a Pakistane.
Nie je prekvapením, že útočníci stojaci za kampaňou naďalej zostávajú aktívni a rozvíjajú svoju infraštruktúru, pričom skupina v roku 2021 zaregistrovala dve nové domény, z ktorých obe sa presmerujú na webovú stránku malajzijského vládneho orgánu s názvom „Terengganu Islamic Foundation“, čo naznačuje aktéra hrozby. možno sa zameral na ciele v Malajzii a Turecku.
“Veríme, že tieto kybernetické útoky sú motivované špionážou, pričom konečnou hrou operácie je inštalácia zadných vrátok do počítačov vysokopostavených cieľov v ujgurskej komunite,” povedal Lotem Finkelsteen, šéf hrozby Check Point. inteligenciu. “Útoky sú určené na zariadenia infikované odtlačkami prstov… [and] z toho, čo vieme povedať, tieto útoky prebiehajú a vytvára sa nová infraštruktúra pre to, čo vyzerá ako budúce útoky.“
