Hacker zielen auf die chinesische Regierung wegen der Coronavirus-Reaktion ab

Die Cybersicherheitsfirma FireEye berichtete am Mittwoch, dass mit der vietnamesischen Regierung verbundene Hacker angeblich chinesische Regierungsbehörden ins Visier nehmen, um Informationen über die COVID-19-Krise zu sammeln.

Laut FireEye war eine Hackergruppe namens „APT32“, auch bekannt als „Ocean Lotus“, die vermutlich im Auftrag der vietnamesischen Regierung operiert, an einer Spear-Phishing-Kampagne beteiligt, die sich gegen Mitglieder des chinesischen Ministeriums für Notfallmanagement und die Regierung von Wuhan, dem Epizentrum der Coronavirus-Pandemie, richtete.

„Diese Angriffe zeigen, dass das Virus eine Priorität für die Geheimdienste darstellt – jeder setzt alles daran, und APT32 ist das, was Vietnam hat“, sagte FireEye in einem Blogbeitrag.

FireEye-Forscher glauben, dass APT32 von mindestens Januar bis April 2020 Einbruchs-Kampagnen gegen chinesische Ziele durchgeführt hat.

Das Sicherheitsunternehmen bemerkte diese Kampagne erstmals am 6. Januar 2020, als APT32 eine E-Mail mit einem eingebetteten Tracking-Link an das chinesische Ministerium für Notfallmanagement sendete. Der eingebettete Link enthielt die E-Mail-Adresse des Opfers und einen Code, um den Akteuren zu melden, ob die E-Mail geöffnet wurde.

FireEye entdeckte auch zusätzliche Tracking-URLs, die Ziele in der Regierung von Wuhan in China und ein E-Mail-Konto, das ebenfalls mit dem Ministerium für Notfallmanagement verbunden ist, offenbarten.

Die Domains in den eingebetteten Links waren dieselben wie die, die im Dezember als Kommando- und Kontroll-Domain für eine METALJACK-Phishing-Kampagne verwendet wurden, die wahrscheinlich auf südostasiatische Länder abzielte.

„APT32 hat wahrscheinlich Covid-19-Themen-Malware-Anhänge gegen chinesischsprachige Ziele verwendet. Während wir die vollständige Ausführungskette nicht aufgedeckt haben, haben wir einen METALJACK-Loader entdeckt, der ein Dokument mit dem Titel Covid-19 in chinesischer Sprache anzeigt, während er seine Nutzlast startet“, fügte der Blogbeitrag hinzu.

Der Shellcode führt eine Systemumfrage durch, um den Computernamen und den Benutzernamen des Opfers zu sammeln, und fügt diese Werte dann an eine URL-Zeichenfolge an. Anschließend versucht er, die URL aufzurufen. Wenn der Aufruf erfolgreich ist, lädt die Malware die METALJACK-Nutzlast in den Speicher.

„Die COVID-19-Krise stellt eine intensive, existenzielle Sorge für Regierungen dar, und die derzeitige Atmosphäre des Misstrauens verstärkt die Unsicherheiten und fördert die Informationssammlung in einem Ausmaß, das mit bewaffneten Konflikten konkurriert. Nationale, staatliche oder provinzielle und lokale Regierungen sowie Nichtregierungsorganisationen und internationale Organisationen werden ins Visier genommen. Auch medizinische Forschung wurde angegriffen“, sagte FireEye.

„Bis diese Krise endet, erwarten wir, dass die damit verbundenen Cyber-Spionageaktivitäten weltweit weiter zunehmen werden.“

Am Donnerstag reagierte jedoch das vietnamesische Außenministerium auf den Bericht von FireEye über die Unterstützung von mit der Regierung verbundenen Hackern, die chinesische Behörden ins Visier nehmen, als „grundlos“.

„Die Anschuldigung ist grundlos“, sagte der Sprecher des Außenministeriums, Ngo Toan Thang, gegenüber Reportern. „Vietnam verbietet alle Cyberangriffe, die verurteilt und gesetzlich streng verfolgt werden sollten.“

Thang fügte hinzu, dass Vietnam bereit sei, mit internationalen Partnern zusammenzuarbeiten, um Cyberangriffe zu bekämpfen.