Egy kínai hátterű hackercsoport európai diplomaták – köztük magyarok – rendszereit célozta meg egy őszi kibertámadási hullámban. A behatolók egy Windows-sebezhetőséget használtak ki, és kémprogramot telepítettek, amely hozzáférést biztosíthatott bizalmas anyagokhoz.
Friss Windows-hiba nyitott kaput a támadóknak
Az Arctic Wolf Labs részletes jelentése szerint a támadás szeptemberben indult, és októberben is aktív volt, a célpontok között pedig diplomáciai hálózatok és állami intézmények szerepeltek. A hackerek minden jel szerint érzékeny diplomáciai információkra vadásztak, például belső egyeztetésekre, tárgyalási anyagokra és bizalmas kommunikációra.
A támadók egy frissen kihasznált Windows-hibát használtak ki, majd egy PlugX nevű kémprogramot telepítettek, amely alkalmas távoli hozzáférésre, fájlok kimentésére és rejtett megfigyelésre. A fertőzött rendszereken így teljes kontrollt szerezhettek.
„A támadás személyre szabott e-mailekkel indul, amelyek látszólag diplomáciai eseményekhez kapcsolódó dokumentumokat tartalmaznak. A megnyitott fájl egy nemrég azonosított Windows-sebezhetőséget használ ki, és így enged hozzáférést a támadóknak a rendszerhez. Ezzel a módszerrel a kártékony program észrevétlenül fut, és lehetőséget ad adatlopásra és további kémkedésre.”
Az UNC6384 hackercsoport
Az UNC6384 egy viszonylag frissen azonosított, Kínához kapcsolt hackercsoport, amelyet először a Google fenyegetésfigyelő részlege dokumentált. A szakértők szerint a csoport már korábban is diplomáciai célpontokra specializálódott: először Délkelet-Ázsiában tűntek fel, majd fokozatosan terjeszkedtek Európa felé.
A működésükre jellemző:
- személyre szabott megtévesztő e-mailek,
- forgalom-átirányítás és hitelesnek tűnő weboldalak,
- digitálisan aláírt telepítők,
- memória-alapú kártevők, amelyeket nehéz észrevenni.
A csoport kedvelt eszköze a PlugX kémprogram egyik fejlesztett változata, amelyet már több mint egy évtizede használnak kínai kötődésű hackergárdák. Rugalmassága és rejtőzködési képessége miatt máig hatékony eszköz állami támogatású kiberakciókban.
Magyarország is érzékeny célpont lehet
A jelentés nem nevez meg konkrét magyar célpontokat, de arra utal, hogy hazai külügyi rendszereket is elérhetett a támadás. Magyarország szerepe a brüsszeli döntéshozatalban, NATO-tagsága és több nagyhatalommal fenntartott aktív diplomáciai kapcsolata miatt érzékeny információkhoz fér hozzá, így könnyen célponttá válhat.
Az ilyen hacker támadások célja többnyire nem a működés megbénítása, hanem korai hozzáférés bizalmas anyagokhoz, mint háttérjelentések vagy tárgyalási pozíciók. Ezek értékesek lehetnek olyan államoknak, amelyek figyelni akarják az uniós egyeztetéseket és a magyar kormány külpolitikai álláspontjának alakulását.
Kibervédelmi szempontok
A kibervédelmi elemzők szerint az ilyen kampányok ellen a gyors frissítések és a tudatos felhasználói magatartás jelenti a leghatékonyabb védelmet. Diplomáciai környezetben továbbra is a célzott adathalászat a leggyakoribb belépési pont: elég egy hitelesnek tűnő meghívó vagy dokumentum, és a támadók könnyen hozzáférhetnek a rendszerhez.
A gyakorlatban ez azt jelenti, hogy
- a frissítéseket nem lehet halogatni,
- mellékletekre és linkekre külön figyelmet kell kérni a felhasználóktól,
- a kockázatkezelés nem csak informatikai feladat, hanem napi rutin kell legyen.
Az Arctic Wolf szerint a mostani akció bizonyíték arra, hogy a profi csoportok napok alatt képesek kihasználni egy frissen ismertté vált sérülékenységet. Vagyis a lassú reakció itt nem csak kényelmetlenséget, hanem valódi kockázatot jelent.
Európa-szerte támadások
Az európai kormányzati rendszerek az elmúlt években egyre gyakrabban kerültek célkeresztbe, legyen szó orosz, kínai vagy észak-koreai hátterű csoportokról.
Szeptember végén több nagy repülőtér – köztük London Heathrow, Brüsszel és Berlin – jelentett fennakadásokat egy külső szolgáltató érintettsége miatt, ami késéseket és járattörléseket okozott. Közben több nyugat-európai minisztérium és állami portál is rövid leállásokat tapasztalt, miután szokatlan hálózati forgalmat érzékeltek. Az esetekből látszik hogy a tágabb állami és infrastrukturális rendszerek is folyamatos célpontok, ezért a külügyön túl minden, bizalmas információval dolgozó intézménynek naprakész kibervédelemmel kell rendelkeznie.
Borítókép: Depositphotos.com
Forrás: