V kyberprostoru zuří nelítostná válka mezi Ruskem a Čínou

Check Point Research odhalil čínské kybernetické útoky na ruské obranné výzkumné ústavy. Operace Twisted Panda, za kterou stojí čínská státní hackerská skupina, využívá ke krádeži citlivých informací spear-phishingové e-maily napodobující zprávy od ruského ministerstva zdravotnictví. E-maily obsahují nebezpečné dokumenty a snaží se nalákat uživatele pomocí sociálního inženýrství na zprávy o západních sankcích vůči Rusku. Hackeři se dokázali téměř 11 měsíců vyhýbat odhalení pomocí zcela nových nástrojů, sofistikovaných loaderů a backdoorů, včetně backdooru SPINNER, který dokáže krást data a soubory, manipulovat soubory, spouštět příkazy a stahovat další škodlivý obsah.

Přečtěte si také

Kyberzločinci v ČR útočili virem použitým v konfliktu na Ukrajině

Check Point identifikoval tři cíle, dva v Rusku a jeden v Bělorusku. Ruské oběti patří do holdingu ruského státního obranného konglomerátu Rostec Corporation, který je největším ruským holdingem v radioelektronickém průmyslu. Terčem útoků byly společnosti zaměřené na vývoj a výrobu elektronických bojových systémů, vojenských radioelektronických zařízení, leteckých radarových stanic a identifikačních technologií. Zasažené subjekty se zabývají také navigačními systémy pro civilní letectví, vývojem zdravotnických přístrojů a řídicích systémů pro energetiku, dopravu a strojírenství.

Útočníci nejprve posílají obětem speciálně vytvořený phishingový e-mail, který obsahuje dokument s informacemi o západních sankcích vůči Rusku. Když uživatel dokument otevře, stáhne se z hackerského serveru škodlivý kód, který nainstaluje a spustí backdoor v počítači oběti. Backdoor krade informace o infikovaném počítači a odesílá je útočníkům. Backdoor může být použit ke spuštění dalších příkazů a krádežím citlivých dat.

Přečtěte si také

Hlavním terčem ransomwarových útoků se stalo Rusko

Několika obranným výzkumným ústavům v Rusku byly zaslané škodlivé e-maily. E-maily s předmětem „Seznam osob z , na které se vztahují sankce USA za napadení Ukrajiny“ obsahovaly nebezpečný dokument a odkaz na podvodnou stránku napodobující ruské ministerstvo zdravotnictví. Zároveň byl podobný e-mail zaslán také neznámému subjektu v běloruském Minsku s předmětem „USA šíří v Bělorusku smrtící patogeny“. Všechny dokumenty byly vytvořené tak, aby vypadaly jako oficiální dokumenty ruského ministerstva zdravotnictví a byly opatřeny oficiálním znakem a názvem. Vzhledem k použitým taktikám, technikám a postupům můžeme říci, že za špionáží stojí čínská APT skupina. Operace Twisted Panda má stejné rysy jako jiné útoky špičkových čínských kyberšpionážních skupin APT10 a Mustang Panda.

Přečtěte si také

Kybernetické útoky z čínských IP adres na země NATO vzrostly o 116 % – Na ČR dokonce o 226 %

„Odhalili jsme špionáž zaměřenou na ruské obranné výzkumné ústavy, za kterou stojí zkušení čínští hackeři. Jedná se o součást větší operace, která probíhá již přibližně rok. Terčem byly dva obranné výzkumné ústavy v Rusku a jeden subjekt v Bělorusku. Vzhledem k množství kyberválečných operací po celém světě musí i čeští politici, významné osobnosti a organizace spojené s kritickou infrastrukturou používat to nejlepší zabezpečení, protože riziko podobných útoků je velmi reálné,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. „Asi nejsofistikovanější částí kampaně je využití sociálního inženýrství. Načasování útoků a použité návnady jsou velmi rafinované. Z technického hlediska je kvalita nástrojů nadprůměrná i na poměry APT skupin. Špionáž potvrzuje dlouhodobou snahu Číny získat technologickou převahu. V aktuální kampani čínští státem sponzorovaní hackeři zneužívají probíhající rusko-ukrajinské války a útočí na Rusko, které je jinak považované za strategického partnera.“