Čínska skupina hackerov sa usiluje o kybernetickú politickú špionáž. Jej obeťou sú vlády a spoločnosti v Európe (KOMENTÁR)

Richard Straka je autorom portálu Infosecurity.sk.

Čínska hackerská skupina Earth Lusca napádala svoje ciele prostredníctvom kampane, využívajúcej tradičné techniky sociálneho inžinierstva, ako je spear phishing a watering holes. 

Podľa výskumného tímu Trend Micro, ktorý poukazuje na jej aktivity v novom reporte, usiluje hackerská skupina o kybernetickú politickú špionáž, ale jej motivácia je aj finančná.

Ciele hackerskej skupiny

Výskumný tím dokázal vystopovať pôvod tejto skupiny v blízkosti mesta Čcheng-tu v provincii S‘-čchuan v strednej Číne.

Podľa spomínaného reportu boli útoky cielené na vládne inštitúcie prevažne v Ázii. Zameriavali sa však aj na edukačné inštitúcie či spravodajské spoločnosti v Ázii a Európe.

V prípade Hong Kongu útočili na prodemokratické a ľudskoprávne politické organizácie a hnutia, teda opozíciu voči aktuálnej propekinskej vláde. V USA to boli vedecké inštitúcie, zaoberajúce sa výskumom ochorenia COVID-19. Hackeri napadli aj Nepál, kde ich cieľom bola telekomunikačná infraštruktúra krajiny.

Nakoniec neobišli ani samotnú Čínu, kde napadli viacero zakázaných náboženských hnutí.

Finančný motív skupiny sa prejavil aj v menších útokoch na rôzne obchodné platformy s kryptomenami.

Metódy pri útokoch

Hackeri využívali pri svojich útokoch koncept spear phishing a watering hole. Využívali však aj slabiny verejne prístupných serverov.

V prípade spear phishingu posielali e-maily obsahujúce odkaz na škodlivé súbory. Súbory v odkaze boli prezentované buď ako dokument, alebo ako formulár, v závislosti od cieľového subjektu. Tieto súbory, obsahujúce škodlivý malware, boli umiestnené na kompromitovaných webových serveroch či na úložiskách Google Drive.

Pri koncepte watering hole hackeri kompromitovali alebo vytvorili falošné webové stránky, ktoré ich obete často navštevovali. Následne tieto stránky infikovali škodlivým Javascriptom, cez ktorý potom vykonávali útoky.

Trvalé nebezpečenstvo

Autori výskumu v záverečnej časti pripomínajú prepojenie Earth Lusca na Winnti Group, ktorá je aktívna v kybernetickom priestore približne od roku 2012. Odvolávajú sa pritom na viacero výskumov, napríklad od spoločnosti ESET z roku 2020, ktorý prepojil túto skupinu s útokmi na univerzity v Hong Kongu.

Ďalej uvádzajú aj výskumy od Positive Technologies či Dr.WEB, ktoré ukazujú na danú Winnti group ako útočníka v Hong Kongu či v Strednej Ázii. V prvom prípade dokázali vystopovať pôvod priamo v Číne, čo potvrdzuje nálezy v správe od Trend Micro.

Nebezpečnú a v podstate celosvetovú aktivitu tejto organizovanej hackerskej skupiny sledovali aj ďalšie výskumy od Nippon Telegraph and Telephone Corporation. Ide o hlavnú japonskú telekomunikačnú spoločnosť, ktorá mala na starosti bezpečnosť olympijských hier v Tokiu 2020. 

Na skupinu si posvietil aj Avast v prípade ich útokov v Mongolsku. 

Text nie je autorským článkom Startitup. Vyjadruje názory autora, ktoré nereprezentujú názory redakcie.