Ujgurové jsou terčem kyberútoků. Stopy vedou k čínským hackerům

Michael Chrobok 28. 5. 2021 10:48

(aktualizováno 30. 5. 2021 17:13)

Muslimská menšina z čínské provincie Sin-ťiang zažívá krušné časy. Výzkumný tým kyberbezpečnostní společnosti Check Point odhalil ve spolupráci s výzkumníky z Kaspersky vlnu kyberútoků zaměřenou na Ujgury v Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor, díky kterému hackeři získají přístup prakticky ke všem informacím a zároveň mohou do zařízení stáhnout další malware.

Odborníci odhalili škodlivý dokument s tematikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z Valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.

Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation). Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.

fake foundation — Srovnání falešné webové stránky (nahoře) s tou skutečnou (dole)

Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.

Útoky cílí na ujgurskou menšinu a organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, přičemž v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou. Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.

Vstoupit do diskuze (7)

Zdroj článku

Autor článku

Michael Chrobok

Nestranný fanoušek technologií, amatérský fotograf, příležitostný sportovec a baseballový nadšenec. Ve volném čase rád cestuje, zahraje si hru, nebo se ponoří do oblíbených fantasy a sci-fi světů.