Китайски хакери атакуват европейски дипломати във войната между Русия и Украйна

Китайски хакери са се включили в кибер войната, която се случва заедно с конфликта в Украйна и последвалата бежанска криза. Това става ясно от изследване на Google и фирмата за киберсигурност Proofpoint, цитирани от Forbes.

В понеделник Google съобщи, че китайска група, която се нарича Mustang Panda, е атакувала субекти в Европа с примамки свързани с руската инвазия в Украйна. Вътрешното звено на компанията Threat Analysis Group (TAG) е забелязало фишинг имейли със зловредни прикачени файлове, които са били кръстени с имена като “Situation at the EU borders with Ukraine.zip”.

“В тези zip файлове има програма със същото име, която представлява елементарен софтуер за сваляне на информация. Когато бъде изпълнена, тя сваля няколко допълнителни файла, които зареждат финалния софтуер. За да предотврати вредата TAG предупреди съответните власти за откритията си”, пише Google и добавя: “Прицелването в европейски организации представлява промяна в обичайните цели на Mustang Panda, които обикновено са в Югоизточна Азия.”

В същото време Proofpoint казва, че забелязва повишена активност от група, позната като RedDelta, която преди е била свързана с Mustang Panda и някои изследователи вярват, че всъщност са същите хора. На 28 февруари, докато руските бомби падаха върху украинските градове, хакерите от RedDelta използват хакнат имейл на дипломат от европейска страна, член на НАТО, от който изпращат мейли с прикачен малуер до дипломатическите офиси на други страни. Proofpoint не идентифицира нито една от страните.

Зловредният файл отново е бил със заглавието “Situation at the EU borders with Ukraine.zip”, което е индикация, че Google и Proofpoint са засекли една и съща активност. Крайната цел на атаката изглежда е да пусне инструмент за дистанционен достъп върху таргетираните компютри, познат като PlugX.

Proofpoint също вижда хакерите от RedDelta да изпращат фишинг имейли, които съдържат т.нар. “проследяващи пиксели”. Това са миниатюрни изображения в съобщение, които казват на изпращача, че имейлът е бил отворен. В случая това би означавало, че жертвата на атаката може да се поддаде на други атаки чрез социални инженерство. “Темпото на действие на тези кампании, особено тези срещу европейските правителства, се забързва след струпването на руски войски на границата на Украйна”, пише Proofpoint. 

Миналата седмица Proofpoint разкри, че други хакери, свързани с Беларус, също са се насочили към кризата с бежанците чрез фишинг имейли изпратени от компрометиран имейл акаунт на украински представител на военните. 

Китай, чийто президент Си Дзинпин има близки връзки с руския президент Владимир Путин, има интерес в продължаващия конфликт. Затова и избягва да критикува Русия, както други нации правят след инвазията на Украйна, което поставя Пекин под натиск да направи повече за прекратяването на войната. В последните дни беше съобщено, че външният министър на Китай е казал, че Червеният кръст в страната ще осигури хуманитарна помощ на Украйна.

Китайското посолство в Лондон не е отговорило на запитване за коментар от Forbes.

Google казва също, че наблюдава руски и беларуски групи, които стартират атаки, свързани с инвазията в Украйна. Една от тях, FancyBear или Apt28, се смята, че преди е била част от разузнавателната агенция на Русия ГРУ, като е била обвинена за опити да хакне изборите в САЩ през 2016, а най-известният предполагаем пробив е този срещу Националния комитет на Демократическата партия. Според Google, групата сега е започнала “няколко големи фишинг кампании за идентификационни дани, насочени към потребители на ukr.net”. UkrNet е украинска медийна организация.

Въпреки тези атаки, очакванията за тотална кибервойна, която да съвпадне с инвазията не се материализират. Мат Олни, директор по разузнаване на заплахи в Cisco Talos, казва, че организацията му помага за защита на украински организации от 2015 г. насам. Тогава хакери, за които се предполага, че са от Русия, атакуваха енергоснабдяването в райони на Украйна.

Според Олни, това че конфликтът в Украйна се случва най-вече във физическия свят, прави по-вероятно кибератаките да се концентрират върху западни субекти в страни, които подкрепят Киев. 

“На най-добрите оператори в Русия вероятно в момента са заложени задачи за шпионаж, за да опитат да разберат какъв ще е отговорът на Запада, защото Русия се страхува повече от това, отколкото каквото и да е случващо се в Украйна,” казва Олни.