Podle analytiků Check Point čínské hackerské skupiny dlouhodobě cílí na evropské vládní subjekty a nejnovější kampaň pojmenovaná jako „SmugX“ je součástí širšího trendu.
Analytický tým v posledních měsících monitoroval aktivity čínské hackerské skupiny, které se zaměřovala na evropská ministerstva zahraničních věcí, ambasády a vládní subjekty spojené se zahraniční a domácí politikou. Cílem kampaně bylo získat citlivé informace o zahraniční politice, mezi oběti patří i Česká republika a Slovensko.
„Už dříve jsme varovali před útoky čínských skupin Volt Typhoon a Camaro Dragon, jejichž primární motivací jsou krádeže strategických zpravodajských informací a upevňování pozice pro případné další operace,“ uvedl oblastní manažer Daniel Šafář.
Hackeři při nejnovějším útoku na evropské politické subjekty použili techniku zvanou HTML Smuggling, při které je hrozba ukryta v HTML dokumentech. Netušícímu uživateli přijde podvodný dokument, tvářící se například jako diplomatický koncept nové rezoluce nebo plánu příští schůzky. Obsahuje však škodlivý kód.
Útoky probíhají minimálně od prosince 2022 a jedná se pravděpodobně o další pokračování dříve odhalených útoků skupiny RedDelta, do jisté míry i skupiny Mustang Panda.
Počítače obětí jsou infikovány novou variantou malwaru PlugX, který je často spojován právě s útoky čínských hackerů. Hlavní rozdíl je ve vylepšených maskovacích schopnostech, proto kampaň nebyla tak dlouho odhalena.
PlugX může využívat různé plug-iny (zásuvné moduly) s novými funkcemi a v napadených systémech provádět řadu škodlivých činností, včetně krádeží souborů, snímání obrazovky, sledování stisknutých kláves a spouštění příkazů.
Jako návnady byly podle analytiků využity dokumenty zaměřené na evropské vládní subjekty spojené s domácí a zahraniční politikou. Terčem byly zejména Česká republika, Slovensko, Maďarsko, Británie a Ukrajina.
Většina dokumentů obsahovala diplomatický obsah, v některých případech se obsah týkal přímo Číny a lidských práv v Číně. I názvy souborů naznačují, že oběťmi měli být diplomaté a státní úředníci. Několik názvů soubor, které Check Point identifikoval:
- Draft Prague Process Action Plan_SOM_EN
- 2262_3_PrepCom_Proposal_next_meeting_26_April
- Comments FRANCE - EU-CELAC Summit - May 4
- 202305 Indicative Planning RELEX
- China jails two human rights lawyers for subversion
„Vidíme tak velmi znepokojivý trend, který dále umocňuje důležitost zabezpečení a ochrany před kybernetickými útoky. Nedávno jsme informovali o čínské hackerské skupině Camaro Dragon, jejíž aktivity se překrývají s aktivitami skupin Mustang Panda a RedDelta. Zatím ale nemáme dostatek důkazů, abychom aktuální kampaň, označovanou jako SmugX, spojili přímo s Camaro Dragon nebo jinou skupinou,“ konstatoval Šafář.