Kínai hekkerek törték fel magyar uniós diplomaták gépeit: érzékeny titkokat lophattak el, óriási a fejetlenség

Az Arctic Wolf kiberbiztonsági vállalat jelentése szerint egy kínai állami támogatású hackercsoport, a UNC6384 magyar, belga, szerb, olasz és holland EU-diplomatákat vett célba egy kifinomult kibertámadás-sorozatban. A szeptember óta zajló művelet során a támadók egy Windows-rendszerben található biztonsági rést használtak ki - írja a Telex.

A támadás módszere többlépcsős volt: először az Európai Bizottság nevében küldtek személyre szabott e-maileket a diplomatáknak, amelyek különböző uniós ülésekről, NATO-workshopokról vagy diplomáciai eseményekről szóltak. A magyar célpontok esetében egy "Agenda_Meeting 26 Sep Brussels" nevű PDF-dokumentumot használtak csalétekként, amely egy valós, az Európai Bizottság bővítésért és keleti szomszédságért felelős főigazgatósága által szervezett megbeszélésre utalt. Az esemény témája a határátkelési eljárások harmonizálása és az EU-Nyugat-Balkán közötti szabad áruforgalom volt.

A támadók a ZDI-CAN-25373 nevű, a Windows parancsikonfájljait érintő sérülékenységet kihasználva PowerShell-parancsokat futtattak a megfertőzött gépeken. A többlépcsős kártevőlánc végén egy PlugX nevű trójai programot telepítettek, amely legitim Canon nyomtatófájlokhoz társítva rejtőzött el a rendszerben, és teljes távoli hozzáférést biztosított a támadóknak.

A PlugX kártevő már 2008 óta ismert, és különösen népszerű a kínai állami hackercsoportok körében. Képes billentyűleütések rögzítésére, valamint fájlok fel- és letöltésére is. A Record szerint a kártevőt eddig 170 országban közel százezer számítógépen azonosították, és januárban az amerikai védelmi minisztérium több mint négyezer gépről távolította el. A mostani támadásban használt verzió jelentősen továbbfejlesztett, nehezebben felfedezhető változat.

Az Arctic Wolf elemzése szerint a UNC6384 csoport képességei figyelemre méltóak: mindössze hat hónap alatt tudtak támadóeszközt fejleszteni egy újonnan felfedezett sérülékenységre. Emellett részletes ismeretekkel rendelkeznek a diplomáciai folyamatokról és eseményekről, amelyekre kifinomult social engineering kampányokat építenek. A mostani incidens azt is jelzi, hogy a korábban főként Délkelet-Ázsiában aktív csoport már Európában is tevékenykedik.

A UNC6384 csoportot augusztusban a Google kiberbiztonsági részlege is azonosította egy hasonló, márciusi kampány kapcsán, amelyben akkor délkelet-ázsiai diplomatákat támadtak meg. A mostani akció a szakértők szerint a csoport taktikai fejlődését mutatja.