Chiński nadzór nad Tybetańczykami. Hakerzy z misją inwigilacji diaspory

26 lutego 2021, 12:11
tibet-1717188_960_720
Fot. kantsmith/Pixabay

Grupa powiązana z chińskim rządem jest odpowiedzialna za kampanię wymierzoną w diasporę tybetańską, podczas której hakerzy uzyskali dostęp do kont Gmail użytkowników, korzystających z popularnej przeglądarki Firefox. Ponadto, infekowano urządzenia ofiar złośliwym oprogramowaniem. Głównym celem operacji, mającej miejsce w ciągu ostatnich dwóch miesięcy, było cyberszpiegostwo z myślą o realizacji interesów rządu w Pekinie.

Specjaliści Proofpoint Threat Research od marca 2020 roku zajmują się śledzeniem kampanii phishingowych wymierzonych w tybetańskie organizacje działające na całym świecie. Podczas obserwacji cyberprzestrzeni eksperci wykryli operację, w ramach której hakerzy wykorzystali złośliwy dodatek do popularnej przeglądarki Mozilla Firefox w celu uzyskania dostępu do kont Gmail użytkowników i przejęcia nad nimi kontroli. Zgodnie z raportem Proofpoint kampania, nazwana przez specjalistów „FriarFox”, miała miejsce w styczniu oraz lutym 2021 roku i była zgodna z interesami Komunistycznej Partii Chin.

Eksperci przypisali wrogą operację grupie TA413, która jest powiązana z rządem w Pekinie. Specjalizuje się ona w cyberszpiegostwie oraz cywilnym nadzorem dysydentów, w tym przedstawicieli diaspory tybetańskiej. Podczas ostatniej kampanii hakerzy poza wykorzystaniem złośliwego dodatku do Firefoxa infekowali także urządzenia ofiar oprogramowaniem Scanbox oraz Sepulcher.

Jak wskazano w raporcie, specjaliści pod koniec stycznia 2021 roku wykryli pierwsze wiadomości phishingowe skierowane do kilku tybetańskich organizacji. W e-mailach hakerzy podszywali się pod „Stowarzyszenie Kobiet Tybetańskich”, a ich nagłówek brzmiał: „Wewnątrz Tybetu i społeczności tybetańskiej na wygnaniu”. Były one rozsyłane ze znanego konta na Gmailu używanego przez grupę TA413 w ciągu ostatnich lat. W treści znajdował się zainfekowany link, rzekomo przekierowujący do serwisu YouTube: hxxps: // you-tube [.] tv / .

Kliknięcie w powyższy odnośnik prowadziło do fałszywej strony, a następnie instalacji złośliwego rozszerzenia przeglądarki Firefox. Głównym celem były osoby korzystające z tej przeglądarki oraz Gmaila. Podczas analizy kampanii specjaliści Proofpoint odkryli, że aby rozszerzenie Firefoxa zostało pomyślnie zainstalowane, użytkownik będący celem musiał być zalogowany na swoim koncie w poczcie Google. Dzięki temu hakerzy powiązani z chińskim rządem uzyskali dostęp do kont oraz danych przeglądarki. W ten sposób mogą m.in. przeszukiwać i archiwizować e-maile, usuwać lub przekazywać dalej wiadomości, wysyłać pliki ze zhakowanego konta czy zmieniać funkcje Firefoxa.

Co więcej, po instalacji złośliwego rozszerzenia hakerzy pobierają z zewnętrznego serwera wirusa Scanbox. Jest on wykorzystywany od 2014 roku, głównie przez chińskie grupy kontrolowane przez państwo (APT). Złośliwe oprogramowanie jest podstawowym narzędziem używanym w kampaniach wymierzonych w diasporę tybetańską oraz inne mniejszości etniczne. Dzięki niemu hakerzy mogą śledzić użytkowników odwiedzających określone strony internetowe.

image

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24