Podle analytiků Check Point čínské hackerské skupiny dlouhodobě cílí na evropské vládní subjekty a nejnovější kampaň pojmenovaná jako „SmugX“ je součástí širšího trendu.
Analytický tým v posledních měsících monitoroval aktivity čínské hackerské skupiny, které se zaměřovala na evropská ministerstva zahraničních věcí, ambasády a vládní subjekty spojené se zahraniční a domácí politikou. Cílem kampaně bylo získat citlivé informace o zahraniční politice, mezi oběti patří i Česká republika a Slovensko.
„Už dříve jsme varovali před útoky čínských skupin Volt Typhoon a Camaro Dragon, jejichž primární motivací jsou krádeže strategických zpravodajských informací a upevňování pozice pro případné další operace,“ uvedl oblastní manažer Daniel Šafář.
Hackeři při nejnovějším útoku na evropské politické subjekty použili techniku zvanou HTML Smuggling, při které je hrozba ukryta v HTML dokumentech. Netušícímu uživateli přijde podvodný dokument, tvářící se například jako diplomatický koncept nové rezoluce nebo plánu příští schůzky. Obsahuje však škodlivý kód.
Útoky probíhají minimálně od prosince 2022 a jedná se pravděpodobně o další pokračování dříve odhalených útoků skupiny RedDelta, do jisté míry i skupiny Mustang Panda.
Počítače obětí jsou infikovány novou variantou malwaru PlugX, který je často spojován právě s útoky čínských hackerů. Hlavní rozdíl je ve vylepšených maskovacích schopnostech, proto kampaň nebyla tak dlouho odhalena.
Příklad podvodného dokumentu použitého při útoku „SmugX“ čínských hackerů
Příklad podvodného dokumentu použitého při útoku „SmugX“ čínských hackerů
PlugX může využívat různé plug-iny (zásuvné moduly) s novými funkcemi a v napadených systémech provádět řadu škodlivých činností, včetně krádeží souborů, snímání obrazovky, sledování stisknutých kláves a spouštění příkazů.
Jako návnady byly podle analytiků využity dokumenty zaměřené na evropské vládní subjekty spojené s domácí a zahraniční politikou. Terčem byly zejména Česká republika, Slovensko, Maďarsko, Británie a Ukrajina.
Většina dokumentů obsahovala diplomatický obsah, v některých případech se obsah týkal přímo Číny a lidských práv v Číně. I názvy souborů naznačují, že oběťmi měli být diplomaté a státní úředníci. Několik názvů soubor, které Check Point identifikoval:
- Draft Prague Process Action Plan_SOM_EN
- 2262_3_PrepCom_Proposal_next_meeting_26_April
- Comments FRANCE - EU-CELAC Summit - May 4
- 202305 Indicative Planning RELEX
- China jails two human rights lawyers for subversion
„Vidíme tak velmi znepokojivý trend, který dále umocňuje důležitost zabezpečení a ochrany před kybernetickými útoky. Nedávno jsme informovali o čínské hackerské skupině Camaro Dragon, jejíž aktivity se překrývají s aktivitami skupin Mustang Panda a RedDelta. Zatím ale nemáme dostatek důkazů, abychom aktuální kampaň, označovanou jako SmugX, spojili přímo s Camaro Dragon nebo jinou skupinou,“ konstatoval Šafář.
