Ujgurové terčem kyberútoků, stopy vedou k čínsky mluvícím hackerům
27.05.2021
Ujgurové terčem kyberútoků, stopy vedou k čínsky mluvícím hackerům
  • Výzkumníci objevili škodlivý dokument s názvem „UgyhurApplicationList.docx“, který obsahuje i logo Rady OSN pro lidská práva.

  • Útočníci vytvořili falešnou organizaci pro lidská práva s názvem TCAHF, která se zaměřuje na Ujgury žádající o granty.

  • Za útoky pravděpodobně stojí čínsky mluvící hackeři.


Check Point Research odhalil ve spolupráci s výzkumníky z týmu Kaspersky Global Research & Analysis Team vlnu kyberútoků zaměřenou na Ujgury v Sin-ťiangu, Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor a hackeři získají přístup prakticky ke všem informacím, zároveň mohou do zařízení stáhnout další malware.

Výzkumníci identifikovali dva způsoby infekce:
1. Škodlivé dokumenty, které jsou většinou rozesílané e-mailem a v případě otevření a povolení editace stáhnou do počítače backdoor.
2. Webové stránky falešné nadace se snaží přesvědčit návštěvníky, aby si před vyplněním citlivých informací v žádosti o grant stáhli podvodný bezpečnostní skener.

Škodlivý dokument s motivem OSN

Bezpečnostní odborníci odhalili škodlivý dokument s tématikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.

 

Falešné webové stránky nadace pro lidská práva

Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation).  Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.
 


Falešná webová stránka (nahoře) a srovnání s původní stránkou (dole)

Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.
 


Odkazy ke stažení falešného bezpečnostního skeneru

Oběti

Výzkumníci odhadují, že kampaň je zaměřena na ujgurskou menšinu nebo organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, ale v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou.

Útočníci
Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.
 


Podobný kód makra na čínském fóru


Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2021/uyghurs-a-turkic-ethnic-minority-in-china-targeted-via-fake-foundations/