Čínští hackeři špehovali 5 let vlády v Asii a Tichomoří
9. 5. 2020
Čínští hackeři špehovali 5 let vlády v Asii a Tichomoří

Výzkumný tým kyberbezpečnostní společnosti Check Point odhalil 5 let trvající kyberšpionáž čínské APT skupiny, jejímž cílem byly vlády v regionu Asie a Tichomoří. Skupina Naikon se snaží krást politické informace a poprvé útočila už v roce 2015 na vládní agentury a související organizace v zemích kolem Jihočínského moře. V průběhu roku 2015 se ovšem Naikon zdánlivě odmlčel a nebyly žádné informace o jejich aktivitách - až doposud.

Check Point nyní odhalil, že skupina Naikon byla posledních pět let nejen aktivní, ale v roce 2019 a na začátku letošního roku dokonce ještě zintenzivnila své kyberšpionážní útoky. Primární útočnou metodou je infiltrování vládních organizací a ukradené kontakty, dokumenty a data jsou využity k dalším útokům. Hackeři navíc mohou extrahovat data i z vyměnitelných disků, pořizovat snímky obrazovky nebo sledovat stisknuté klávesy na počítačích obětí. Důvěra a diplomatické vztahy mezi ministerstvy a vládami zvyšují šanci na úspěch útoků prostřednictvím napadených počítačů některých z obětí útoků.

Výzkumníci přišli na stopu těmto pokročilým útokům při vyšetřování škodlivého e-mailu s infikovaným dokumentem, který byl zaslán z velvyslanectví v Asii a Tichomoří australské vládě. Dokument obsahoval malware Royal Road, který se snaží zneužít zranitelnosti, proniknout do PC uživatele a stáhnout nový sofistikovaný backdoor malware Aria-body z externích webových serverů, používaných Naikonem. Tím se skupina snaží získat vzdálený přístup k infikovanému PC nebo síti a vyhnout se tak klasickým bezpečnostním opatřením.

Detailní analýza odhalila další podobné infekční řetězce, které se používají k šíření backdooru Aria-body. Všechny ale dodržují základní 3bodový vzorec:

1. Maskování za oficiální vládní dokumenty: Naikon začíná své útoky vytvořením e-mailu a dokumentu, který obsahuje informace zajímavé pro cíle. Může to vycházet z veřejně dostupných informací nebo ze soukromých informací odcizených z jiných napadených systémů, aby nedošlo k podezření.
2. Pro infiltraci do cílových systémů jsou využity infikované dokumenty: Naikon využívá dokumenty, které nepozorovaně stáhnou backdoor Aria-body a umožní útočníkům přístup do sítí oběti.
3. Použití vládních serverů k dalším útokům: Naikon využívá infrastruktury a servery svých obětí k novým útokům, což jim pomáhá vyhnout se detekci. V jednom případě bylo zjištěno, že server používaný k útokům patří oddělení vědy a techniky filipínské vlády.

Naikon dlouhodobě cílí na země ze stejného regionu, včetně Austrálie, Indonésie, Filipín, Vietnamu, Thajska, Myanmaru a Bruneje. Skupina se zaměřuje na ministerstva zahraničních věcí, vědy a techniky a také na vládní společnosti. Předpokládá se, že motivem jsou geopolitické informace.

APT attack map

„Naikon se pokusil zaútočit na jednoho z našich zákazníků pod rouškou vládní organizace, takže se skupina dostala po pětileté odmlce znovu do našeho hledáčku. Zjistili jsme, že Naikon je sofistikovaná čínská APT skupina, jejímž motivem jsou kyberšpionáže a krádeže cenných informací. Posledních pět let v tichosti rozvíjela své techniky a vyvíjela novou kyberzbraň, backdoor Aria-body. Naikonu se dařilo vyhýbat detekci i vzhledem k využívání nástrojů, které jinak využívá mnoho jiných APT skupin. Jedinečným způsobem byly ovšem použity servery obětí. Výsledky výzkumu jsme zveřejnili jako varování a zdroj užitečných informací pro vládní organizace, které se tak mohou lépe chránit před útoky Naikonu a dalších hackerských skupin,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.

Check Point SandBlast Agent chrání před podobnými APT útoky a zabrání hackerským pokusům už v počáteční fázi, než hackeři mohou proniknout do sítě a způsobit nějaké škody.

Více informací najdete v analýze výzkumného týmu Check Point Research:
https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/