Kineski hakeri pridružili su se borbi onih koji ciljaju na sukob u Ukrajini i s njim povezanu izbjegličku krizu, prema istraživanju Googlea i tvrtke Proofpoint za kibernetičku sigurnost.
Google je u ponedjeljak izvijestio da je kineska grupa pod nazivom Mustang Panda ciljala evropske subjekte s mamcima povezanim s ruskom invazijom Ukrajine. Tvrtka Threat Analysis Group (TAG) uočila je phishing e-poruke sa zlonamjernim priloženim datotekama s nazivima poput "Situacija na granicama EU-a s Ukrajinom.zip", piše Forbes.
“U zip datoteci se nalazi izvršna datoteka istog imena koja je osnovni program za preuzimanje i kada se izvrši, preuzima nekoliko dodatnih datoteka koje učitavaju konačni korisni teret. Kako bi ublažio štetu, TAG je obavijestio nadležna tijela o svojim nalazima”, napisao je Google, dodajući: “Ciljanje evropskih organizacija predstavlja pomak u odnosu na ciljeve koje je Mustang Panda redovito promatrao u jugoistočnoj Aziji.”
Proofpoint je u međuvremenu rekao da je zabilježio povećanu aktivnost grupe poznate kao RedDelta, koja je ranije bila povezana s Mustang Pandom, a za koju neki istraživači vjeruju da je ista ekipa. Dana 28. februara, dok su ruske granate pljuštale na ukrajinske gradove, hakeri RedDelte koristili su hakiranu adresu e-pošte diplomata iz europske – i članice NATO-a – zemlje, šaljući e-poruke sa zlonamjernim softverom diplomatskim uredima druge zemlje. Proofpoint nije identificirao niti jednu od zemalja.
Ponovno je zlonamjerna datoteka došla s naslovom "Situacija na granicama EU-a s Ukrajinom.zip", što ukazuje da su Google i Proofpoint bili svjedoci iste aktivnosti. Čini se da je krajnji cilj napada bio pokretanje alata za daljinski pristup, poznatog kao PlugX.
Proofpoint je također vidio da su RedDelta hakeri slali phishing e-poruke koje su sadržavale "piksele za praćenje", sićušnu sliku unutar poruke koja govori napadačima da je e-mail otvoren i da bi primatelj stoga mogao biti podložniji daljnjim napadima društvenog inženjeringa. "Operativni tempo ovih kampanja, posebno onih protiv evropskih vlada, naglo je porastao otkako su se ruske trupe počele skupljati na granici Ukrajine", napisao je Proofpoint.
“Višegodišnja kampanja protiv diplomatskih tijela u Evropi sugerira dosljedno područje odgovornosti koje pripada [RedDelti]. Taj se mandat možda povećao u odnosu na entitete u Evropi tokom trenutačnog razdoblja geopolitičkog sukoba i ekonomskih preokreta u Europi.”
Samo prošle sedmice, Proofpoint je otkrio da su i drugi hakeri, povezani s Bjelorusijom, ciljali na izbjegličku krizu, s phishing porukama e-pošte poslanim s kompromitovanog računa ukrajinskog vojnog dužnosnika.
Kina, čiji je predsjednik Xi Jinping uspostavio bliske veze s ruskim predsjednikom Vladimirom Putinom, zainteresirana je za sukob koji je u toku. Do sada je izbjegavao kritizirati Rusiju kao i druge nacije zbog njezine invazije na Ukrajinu, a Peking je pozvan da učini više kako bi posredovao i pomogao da se rat okonča. Posljednjih dana objavljeno je da je kineski ministar vanjskih poslova rekao da će Crveni križ njegove zemlje pružiti humanitarnu pomoć Ukrajini.
Kineska ambasada u Londonu nije odgovorila na zahtjev za komentar u vrijeme objave.
Napadi na Zapad se očekuju
Google je rekao da je također vidio ruske i bjeloruske grupe koje su pokrenule napade usredotočene na invaziju Ukrajine. Jedan, nazvan FancyBear ili APT28, prethodno je pripisan ruskoj obavještajnoj agenciji GRU nakon što je optužen da je pokušao hakirati izbore 2016. - najozloglašeniji navodni hak je onaj Demokratskog nacionalnog odbora. Prema Googleu, sada je pokrenuo "nekoliko velikih kampanja za krađu vjerodajnica koje ciljaju korisnike ukr.net". UkrNet je ukrajinska medijska organizacija.
Unatoč tim napadima, sveobuhvatni cyber rat za koji su neki očekivali da će se poklopiti s invazijom na terenu nije se uspio ostvariti. Matt Olney, direktor obavještajnih podataka o prijetnjama i zabrana za Cisco Talos, kaže da njegova organizacija pomaže u zaštiti ukrajinskih organizacija od 2015., kada su hakeri, za koje se tvrdi da su Rusi, isključili opskrbu električnom energijom u područjima susjedne zemlje.
Prema Olneyju, s obzirom da se sukob u Ukrajini prvenstveno vodi u fizičkom svijetu, vjerovatnije je da će kibernetički napadi sada biti pokrenuti na zapadne entitete u zemljama koje su stale na stranu Kijeva.
"Operatori A-tima u Rusiji vjerovatno su trenutno primarno dodijeljeni špijunskim aktivnostima, pokušavajući shvatiti kakav je odgovor Zapada, jer se tu Rusija boji utjecaja više nego bilo čega unutar Ukrajine", rekao je Olney.