- Powiązana z Chinami grupa cyberprzestępców MirrorFace zaatakowała jeden z instytutów dyplomatycznych z Europy Środkowo-Wschodniej – odkryli analitycy ESET.
- Atak miał wymiar szpiegowski i był związany z odbywającym się w tym roku EXPO w Japonii.
- Przestępcy wniknęli w korespondencję dyplomatów z japońską organizacją NGO, nakłaniając ich do pobierania złośliwego oprogramowania.
- To niebezpieczny sygnał w kontekście wyborów prezydenckich.
Chiny równie niebezpieczne
Europa to między innymi z powodów geopolitycznych obecnie główny cel cyberprzestępców, którzy od miesięcy próbują osłabiać ją na różnych polach, w tym atakując infrastrukturę krytyczną. Coraz częściej pojawiają się obawy o zaburzenie procesów w trakcie kampanii i wyborów prezydenckich zaplanowanych na maj. Krzysztof Gawkowski, minister cyfryzacji zapewnia, że rząd wdraża tzw. parasol wyborczy, czyli strategię zabezpieczenia procesu wyborczego, która ma ochronić systemy przed dezinformacją i destabilizacją . Jednak jak pokazuje poniższa historia, cyberprzestępcy wykorzystując najsłabsze ogniwo jakim jest człowiek wcale nie muszą łamać systemów, aby osiągać swoje cele.
Obok kierunku rosyjskiego, coraz bardziej niebezpieczne są działania przeprowadzane przez chińskich cyberprzestępców. Już w zeszłym roku analitycy ESET zanotowali wzmożoną aktywność chińskich hakerów zrzeszonych w grupach APT. Działania z Chin stanowiły już 40% zanotowanych ataków grup APT[1]. Grupy APT koncentrują się w szczególności na podmiotach rządowych, sektorze obronnym i strategicznych branżach. Jednym z ich głównych założeń jest szeroko pojęte szpiegostwo gospodarcze, polityczne jak również sianie dezinformacji i paniki.
Dyplomaci zaatakowani
Najnowsze odkrycie analityków ESET potwierdza ten niebezpieczny trend. Między czerwcem a wrześniem 2024 roku zaobserwowano liczne kampanie spear phishingowe prowadzone przez chińską grupę hakerską MirrorFace. Celem nie był jednak biznes. Spear phishing to niebezpieczna metoda stosowana przez cyberprzestępców, która opiera się na indywidualnie dopasowanych atakach phishingowych wymierzonych w konkretne osoby lub określonych pracowników.
– Obiektem ataku stał się środkowoeuropejski instytut dyplomatyczny. Według naszej wiedzy był to pierwszy i jak dotąd jedyny przypadek ataku tej grupy na podmiot w Europie – mówi Dominik Breitenbacher, analityk ESET, który odkrył kampanię chińskiej grupy hakerskiej wymierzoną w europejskich dyplomatów.
Atakujący, wykorzystując mechanizm spearphishingowy, starali się nakłonić ofiary do otwarcia złośliwych załączników, np. w formacie Word lub kliknięcia w linki, co miało prowadzić do instalowania aplikacji lub programów do złudzenia przypominających występujące na rynku, np. aplikacji opracowanych przez McAfee czy JustSystems.
Wiadomość e-mail rozsyłana przez przestępców odnosiła się do wcześniejszej, autentycznej interakcji między atakowanym instytutem dyplomatycznym a japońską organizacją pozarządową. W ten istniejący już wątek korespondencji włączyli się cyberprzestępcy, wykorzystując kontekst nadchodzącego Expo 2025, które odbędzie się w Osace w Japonii. Warto zauważyć, że jeszcze przed atakiem na europejski instytut dyplomatyczny, grupa MirrorFace zaatakowała dwóch pracowników japońskiego instytutu badawczego, wykorzystując złośliwy, zabezpieczony hasłem dokument Word dostarczony w nieznany sposób. Nie jest wykluczone, że w ramach tego działania doszło do wycieku danych. Cyberszpiedzy działali konsekwentnie – brak wykonania akcji przez ofiarę skutkował wznowieniem działania – z wyeksponowanym linkiem.
Co ciekawe, jedna z zaatakowanych osób wyższego szczebla nie posiadała dostępu do Windows, więc przekierowała maila do innych członków organizacji, co rozszerzyło działania szpiegów, gdyż kolejne osoby, odbierając mail z poleceniem, otworzyły zainfekowane załączniki.
– Spear phishing to szczególny rodzaj phishingu, w ramach którego cyberprzestępcy biorą na cel konkretną organizację i konsekwentnie przygotowują wieloetapowy scenariusz przestępstwa. Do przeprowadzenia takiego ataku cyberprzestępcy zbierają wszelkie dostępne informacje na temat struktury wewnętrznej organizacji, imion, nazwisk, powiązań służbowych, aby uprawdopodobnić treści fałszywych wiadomości. Działania spear phishingowe są znacznie trudniejsze do wykrycia i spędzają sen z powiek szefom działów cyberbezpieczeństwa nawet dobrze zabezpieczonych organizacji. Tego typu ataki, choć znacznie rzadsze i kosztowne w przygotowaniu – są szczególnie groźne, jeśli zostaną zastosowane wobec wyższej kadry zarządzającej czy przedstawicieli organizacji – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
[1] https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2024-q3-2024.pdf