Хакеры нацелились на китайское правительство из-за реакции на коронавирус

Кибербезопасная компания FireEye в среду сообщила, что хакеры, связанные с правительством Вьетнама, якобы нацеливаются на китайские государственные учреждения с целью сбора разведывательной информации о кризисе COVID-19.

Согласно FireEye, группа хакеров “APT32”, также известная как “Ocean Lotus”, которая, как считается, действует от имени вьетнамского правительства, была вовлечена в кампанию целевой фишинга, нацеленную на членов Министерства управления чрезвычайными ситуациями Китая и правительство Уханя, эпицентра пандемии коронавируса.

“Эти атаки говорят о том, что вирус является приоритетом для разведки – все бросают все свои силы на это, и APT32 – это то, что есть у Вьетнама,” – говорится в блоге FireEye.

Исследователи FireEye считают, что APT32 проводила кампании вторжения против китайских целей как минимум с января по апрель 2020 года.

Компания безопасности впервые обратила внимание на эту кампанию 6 января 2020 года, когда APT32 отправила электронное письмо с встроенной ссылкой для отслеживания в Министерство управления чрезвычайными ситуациями Китая. Встроенная ссылка содержала адрес электронной почты жертвы и код для обратной связи с исполнителями, если электронное письмо было открыто.

FireEye также обнаружила дополнительные URL-адреса для отслеживания, которые выявили цели в правительстве Уханя и учетную запись электронной почты, также связанную с Министерством управления чрезвычайными ситуациями.

Домены во встроенных ссылках были теми же, что использовались в декабре в качестве командного и управляющего домена для кампании фишинга METALJACK, вероятно, нацеленной на страны Юго-Восточной Азии.

“APT32, вероятно, использовала вредоносные вложения на тему Covid-19 против говорящих на китайском языке целей. Хотя мы не раскрыли всю цепочку выполнения, мы обнаружили загрузчик METALJACK, отображающий документ-приманку на китайском языке с заголовком Covid-19 во время запуска своего полезного груза,” – добавил блог.

Шеллкод выполняет системный опрос для сбора имени компьютера и имени пользователя жертвы, а затем добавляет эти значения к строке URL. Затем он пытается вызвать URL. Если вызов успешен, вредоносное ПО загружает полезную нагрузку METALJACK в память.

“Кризис COVID-19 представляет собой интенсивную, экзистенциальную проблему для правительств, и текущая атмосфера недоверия усиливает неопределенности, побуждая к сбору разведывательной информации в масштабах, сопоставимых с вооруженным конфликтом. Национальные, государственные или провинциальные и местные правительства, а также неправительственные организации и международные организации становятся целями. Медицинские исследования также были нацелены,” – заявила FireEye.

“Пока этот кризис не закончится, мы ожидаем, что связанная кибершпионаж будет продолжать усиливаться на глобальном уровне.”

Однако в четверг вьетнамское министерство иностранных дел отреагировало на отчет FireEye о поддержке хакеров, связанных с правительством, нацеленных на китайские агентства, как “безосновательный”.

“Обвинение безосновательно,” – сказал журналистам представитель министерства иностранных дел Нго Тоан Тханг. “Вьетнам запрещает все кибератаки, которые должны быть осуждены и строго пресечены законом.”

Тханг также добавил, что Вьетнам готов сотрудничать с международными партнерами в борьбе с кибератаками.