Serwisy informacyjne a w nich… wirusy. Wietnamscy hakerzy z misją w Azji Południowo-Wschodniej

Po raz pierwszy działalność grupy Ocean Lotus specjaliści firmy „Volexity” zajmującej się cyberbezpieczeństwem odkryli w 2017 roku. Od tego czasu ugrupowanie znacznie wyewoluowało stając się wyrafinowanym w prowadzeniu kampanii szpiegowskich – wynika z raportu „OceanLotus: Extending Cyber Espionage Operations Through Fake Websites”.

Hakerzy od lat zakładają i zarządzają stronami internetowymi, które pozornie wydają się być wiarygodnie. Część z nich ma charakter informacyjny. Spreparowane przez grupę witryny „na pierwszy rzut oka” wyglądają rzetelnie ze względu na swój wygląd i samą treść. W rzeczywistości jednak są narzędziem rozpowszechniania złośliwego oprogramowania i śledzenia użytkowników, które je odwiedzają. „Najpopularniejsza z tych witryn miała nawet swój fanpage na Facebooku z ponad 20 000 obserwujących” – czytamy w raporcie.

Specjaliści Volexity poinformowali o wykryciu nowej kampanii realizowanej przez Ocean Lotus, którzy za pomocą 13 fikcyjnych domen internetowych oraz stron na Facebooku prowadzili zaawansowaną kampanię. Witryny zostały utworzone przez hakerów w ciągu ostatnich 12 miesięcy. Poniżej znajdują się adresy domen zarządzanych przez Ocean Lotus:

• baodachieu.com – posiadała ogólne wiadomości z kraju i ze świata. Była napisana w języku wietnamskim. Wyróżniała się indywidualnym logo oraz sloganem, który wskazywał, że udostępnia materiały, jakie pozostałe media próbują ukryć.
• baomoivietnam.com – podobnie jak powyższa strona została napisana w języku wietnamskim oraz publikowała treści dotyczące bieżących wydarzeń. Posiadała własne logo oraz hasło informujące, że zawiera krótkie i rzetelne newsy.
• ledanvietnam.org – również napisana w języku wietnamskim, zawierała wiadomości o tematyce społecznej. Jej celem było publikowanie wiadomości różniących się od oficjalnych stanowisk rządzących. Zachęcała użytkowników do odwiedzania podkreślając, że mówi o „prawdzie i odpowiedzialności”.
• nhansudaihoi13.org – poświęcona XIII Wietnamskiemu Kongresowi Komunistycznemu, który będzie miał miejsce w styczniu 2021 roku. 
• tocaoonline.org – jej tematyka koncentrowała się na nowościach oraz najświeższych wiadomościach.
• thamcungbisu.org – podobnie jak poprzednie domeny była napisana w języku wietnamskim i publikowała newsy o tematyce ogólnej. 
• tinmoivietnam.com – przypominała powyższą stronę, różniła się jednak adresem, który był zbliżony do popularnej domeny „tinmoivietnam.net”.
• kmernews.com – jej głównym językiem był kambodżański i zawierała artykuły dotyczące ogólnych wydarzeń. Określała się mianem „gazety internetowej”.
• laostimenews.com – publikowane w jej ramach treści napisano w języku angielskim oraz laotańskim. Większość udostępnianych materiałów pochodziło ze strony internetowej Laotian Times (laotiantimes.com).
• malaynews.org – również publikowała newsy na tematy ogólnych wiadomości. Jej cechą charakterystyczna był język: angielski i malajski.
• philiippinesnews.net – tematyka udostępnianych w jej ramach materiałów jest taka sam jak poprzednich, lecz były one publikowane w języku angielskim.
• khmer-livenews.com – dominował na niej język kambodżański.
• khmerleaks.com – koncentrowała się na propagowaniu wiadomości dotyczących Kambodży. Językiem, w jakim publikowano treści był angielski i kambodżański. Strona zawierała hasło: „Bądź na bieżąco z najgorętszymi wiadomościami z kraju”.
  
  

Fikcyjne strony przekierowywały odwiedzających na strony phishingowe i stanowiły główne źródło dystrybucji złośliwego oprogramowania na systemy Windows oraz macOSX. Głównym celem hakerów byli użytkownicy z Wietnamu oraz całej Azji Południowo-Wschodniej. Wspomniane wyżej domeny zostały skutecznie zablokowane.

Przeprowadzone przez Volexity badania wykazały, że każda z witryn była od podstaw tworzona przez Ocean Lotus. Hakerzy dbali o detale starannie przygotowując zamieszczane na nich materiały, grafiki czy slogany. Jak wynika z raportu, jedynie część artykułów znajdujących się na każdej ze stron było nośnikiem złośliwego oprogramowania. Średnio na stworzonych przez siebie witrynach hakerzy zamieszczali ponad 10 000 newsów.

Domeny różnią się od siebie poruszaną tematyką – niektóre koncentrują się na wiadomościach z Wietnamu, podczas gdy pozostałe na informacjach z innych państw regionu Azji Południowo-Wschodniej. Materiały na stronach pochodzą w całości z różnych innych legalnych internetowych serwisów informacyjnych. Cały proces kopiowania wiadomości jest zautomatyzowany i odbywa się za pomocą wtyczek WordPress.

Strona „nhansudaihoi13.org” wyróżnia się na tle pozostałych, ponieważ była bardziej rozbudowana i miała silnie polityczny charakter. Jej treść odnosiła się między innymi do zbliżającego się XIII Wietnamskiego Kongresu Komunistycznego, na którym wybrani zostaną nowi przywódcy tego państwa.

Co więcej, witryna ta posiadała również własny fanpage na Facebooku, który był wypełniony newsami skopiowanymi z innych lokalnych serwisów oraz mediów. Większość postów zamieszczanych dotyczyła korupcji na wietnamskiej scenie politycznej. „Fanpage posiadał ponad 1000 polubień” – wskazano w raporcie.

Użytkownik klikając w odnośnik do artykułu, był przekierowywany na zainfekowaną witrynę lub od razu na jego urządzenie pobierano złośliwe oprogramowanie „Cobalt Strike”. Po przeniesieniu na kontrolowaną przez hakerów stronę, użytkownicy proszeni byli o wpisanie danych uwierzytelniających, aby uzyskać dostęp do określonego materiału, np. zapisu wideo. Głównym celem hakerów jest kradzież wrażliwych danych, w tym rejestrowanie ruchu myszy oraz klawiatury użytkownika, a także gromadzenie informacji o ofiarach odwiedzających strony.

Warto podkreślić, że Cobalt Strike był wykorzystywany przez grupę Ocean Lotus podczas wcześniejszych kampanii. Przykładem może być operacja z 2019 roku, którą opisaliśmy na naszym portalu. Wówczas hakerom udało się naruszyć sieci dwóch gigantów branży samochodowej – BMW oraz Hyundaia.