Bezpieczeństwo

Chiny, Filipiny i Koń Trojański - tak się dziś toczy cyberwojnę

TP
Tomasz Popielarczyk
1

Spór o Morze Południowochińskie może się wydawać błahostką wobec problemów współczesnej Europy. Nie znaczy to jednak, że powinniśmy go zupełnie ignorować - szczególnie, że nosi on znamiona cyberwojny.

Jak to zwykle bywa w międzynarodowych sporach, tak i tym razem problemem są roszczenia wobec pewnych terytoriów. Tym razem chodzi o kilkanaście kilometrów kwadratowych rafy koralowej, które Chiny zagospodarowały, tworząc tam sztuczne wyspy. Wiele państw rości sobie do tego regionu pretensje: Chiny, Filipiny, Wietnam, Tajwan, Brunei oraz Malezja. Do eskalacji sporu doszło między dwoma pierwszymi. Nie oznacza to jednak, że do akcji wkroczyła armia. To znaczy nie do końca.

O sprawie informuje firma F-Secure zajmująca się oprogramowaniem zabezpieczającym i ogólnie kwestiami bezpieczeństwa. W jej laboratoriach wykryto odmianę złośliwego oprogramowania, które prawdopodobnie atakuje podmioty zaangażowane w spór o Morze Południowochińskie. Złośliwa aplikacja, którą badacze z F-Secure nazwali NanHaiShu, to trojan typu RAT (Remote Access Trojan – trojan dający zdalny dostęp), który pozwala napastnikom wykradać dane z zainfekowanych komputerów. Erka Koivunen, doradca ds. cyberbezpieczeństwa w F-Secure tłumaczy:

Wygląda na to, że ten zaawansowany atak APT (advanced persistent threat) jest ściśle powiązany ze sporem i postępowaniem pomiędzy Filipinami a Chinami o Morze Południowochińskie. Nie dość, że wszystkie zaatakowane organizacje są z tą sprawą w jakiś sposób związane, to jego pojawienie się zbiega się w czasie ze zdarzeniami i publikacją wiadomości na temat wyników postępowania przed Trybunałem w Hadze.

Niebezpieczne oprogramowanie i jego wykorzystanie w związku z orzeczeniem Trybunału w Hadze z 12 lipca opisano w nowym raporcie F-Secure NanHaiShu: RATing the South China Sea (NanHaiShu: cyberszczur na Morzu Południowochińskim). Wymieniono w nim instytucje, które padły ofiarą ataku. Są to m.in. filipińskie Ministerstwo Sprawiedliwości, które było zaangażowane w sprawę zgłoszoną przez Filipiny przeciwko Chinom; organizatorzy szczytu państw Azji i Pacyfiku APEC (Asia-Pacific Economic Cooperation), który odbył się na Filipinach w listopadzie 2015 roku; duża międzynarodowa kancelaria prawnicza zajmująca się tematem. Koivunen dodaje:

Jeśli podejrzenia naszych badaczy są właściwe, oznaczałoby to, że Chińczycy stosują techniki cyberszpiegowskie, aby uzyskać lepszy wgląd w kulisy postępowania arbitrażowego.

NanHaiShu jest rozprowadzany poprzez spersonalizowane wysyłki e-mailowe (spear phishing), które zawierają terminologię branżową charakterystyczną dla atakowanych organizacji, co wskazuje na to, że e-maile zostały specjalnie przygotowane z myślą o konkretnych odbiorcach. Plik załączany do e-maili zawiera złośliwe makro, które uruchamia wbudowany plik JScript. Po zainstalowaniu NanHaiShu wysyła dane z zainfekowanej maszyny na zdalny serwer i może pobrać dowolny plik, który wybierze haker. Analiza techniczna wykazała powiązanie z kodem i infrastrukturą pochodzącymi od deweloperów z Chin.

Naiwnie byłoby sądzić, że działania Chin (o ile rzecz jasna, faktycznie takowe miały miejsce) są precedensem. Śmiało można założyć, że to właśnie m.in. w taki sposób wkrótce rozwiązywać się będzie większość międzynarodowych sporów. Przy czym jesteśmy świadkami dość delikatnych działań, które mają jedynie na celu kradzież informacji.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

Chinytrojan