Výzkumný tým Check Point Research odhalil cílené kyberútoky čínské APT skupiny na organizace z veřejného sektoru v Mongolsku. Čínská skupina zneužívá koronavirovou pandemii a zájem o informace a rozeslala dva škodlivé dokumenty, maskované jako zpráva od mongolského ministerstva zahraničních věcí. Dokumenty ve formátu .rtf byly zaslané zaměstnancům ve veřejném sektoru s cílem získat vzdálený přístup k síti a krást citlivé informace. Jeden ze dvou dokumentů, které se týkaly COVID-19, citoval čínskou národní zdravotnickou komisi a v názvu měl v překladu „O šíření nových koronavirových infekcí“.
Že za kyberútokem stojí čínská APT skupina, zjistili experti společnosti Check Point podle malwarového kódu uloženého na serverech hackerů. Na základě zjištěných informací odhalil výzkumný tým celý infekční řetězec, ze kterého vyplývá, že skupina je aktivní od roku 2016 a zaměřuje se na různé subjekty veřejného sektoru a telekomunikační společnosti po celém světě: Rusko, Ukrajina, Bělorusko a nyní Mongolsko.
„COVID-19 je nejenom fyzickou hrozbu, ale hackeři téma zneužívají i ke kyberútokům,” říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Naše analýza ukazuje, že čínská skupina zneužila pro útoky všeobecný zájem o koronavirus. Skupina se nezaměřuje jen na Mongolsko, ale také na další země po celém světě. Všechny organizace veřejné správy, telekomunikační společnosti i ostatní firmy by nyní měly být velmi obezřetné, co se týče dokumentů a webů s koronavirovou tématikou.“
Na vzestupu je i malware zaměřený na zájem o koronavir. Check Point zjistil, že domény související s koronavirem jsou o 50 % pravděpodobněji škodlivé než jiné domény. Check Point zatím zjistil více než 4000 registrovaných domén souvisejících s koronavirovou tématikou. 3 % jsou škodlivé domény a dalších 5 % je podezřelých. Průměrný počet nově registrovaných domén, které jsou škodlivé, je přitom jenom zhruba 2 %.
Mohlo by vás zajímat
Více informací najdete v analýze kyberbezpečnostního týmu Check Point Research.
-red-