Chińscy hakerzy przez 5 lat atakowali rządy krajów Azji i Pacyfiku
Chińska grupa hakerska Naikon przez 5 ostatnich lat prowadziła ataki na agencje rządowe najwyższego szczebla i powiązane organizacje krajów Azji i Pacyfiku.
Podstawową metodą ataku Naikon jest infiltracja danego organu rządowego, a następnie wykorzystanie kontaktów, dokumentów oraz innych danych organów administracji publicznej do przeprowadzania ataków na kolejne kraje, wykorzystując zaufanie oraz dobre stosunki dyplomatyczne między departamentami i rządami. Naikon stale atakował kraje z tego samego regionu geograficznego (APAC), w tym Australię, Indonezję, Filipiny, Wietnam, Tajlandię, Birmę i Brunei. Grupa w szczególności kierowała ataki na ministerstwa spraw zagranicznych, nauki i techniki, a także firmy będące własnością rządu. Uważa się, że głównym motywem było gromadzenie danych geopolitycznych.
Polska w sferze zainteresowania?
W Polsce jak do tej pory nie ujawniono podobnych działań cyberszpiegowskich, co nie oznacza, że ich nie ma. Już w 2012 roku hakerzy zaatakowali rządowe serwery w ramach protestu przeciw ratyfikacji międzynarodowej umowy handlowej dotyczącej zwalczania obrotu towarami podrabianymi, znanej bardziej jako ACTA. W 2016 r. nacjonalistyczne ugrupowanie "Prawy Sektor" dokonało ataku, który zaowocował wyciekiem części poufnych danych z sieci Ministerstwa Obrony Narodowej. W 2019 r. niepokojącym incydentem było włamanie wietnamskich hakerów na serwery NBP. Jak ujawnił portal Zaufana Trzecia Strona, hakerzy wykorzystali podatność ASPX RCE, a cały atak wietnamskiej grupy miał zostać przeprowadzony jedynie "w celach rozrywkowych".
Eksperci firmy Check Point wpadli na ślad działalności szpiegowskiej Naikon dosyć przypadkowo, podczas badania przykładowego złośliwego e-maila z zainfekowanym dokumentem, który został wysłany z ambasady jednego z krajów APAC do organów rządowych Australii. Dokument zawierał exploit, który po otwarciu infiltrował komputer użytkownika i próbował pobrać wyrafinowane złośliwe oprogramowanie typu backdoor o nazwie "Aria-body". Program pobierany był z zewnętrznych serwerów sieciowych używanych przez grupę Naikon i pozwalał na uzyskanie zdalnego dostępu do zainfekowanego komputera lub sieci, omijając środki bezpieczeństwa.
