Čínska hackerská skupina Earth Lusca napádala svoje ciele prostredníctvom kampane využívajúcej tradičné techniky sociálneho inžinierstva, ako je spear phishing a watering holes.
Podľa výskumného tímu Trend Micro, ktorý poukazuje na jej aktivity v novom reporte, usiluje hackerská skupina o kybernetickú politickú špionáž, ale má aj finančnú motiváciu.
Ciele hackerskej skupiny
Výskumný tím dokázal vystopovať pôvod tejto skupiny v blízkosti mesta Čcheng-tu v provincii S‘-čchuan v strednej Číne.
Podľa spomínaného reportu boli útoky cielené na vládne inštitúcie prevažne v Ázii. Zameriavali sa však aj na edukačné inštitúcie či spravodajské spoločnosti v Ázii a Európe.
V prípade Hongkongu útočili na prodemokratické a ľudskoprávne politické organizácie a hnutia, teda opozíciu voči aktuálnej propekinskej vláde. V USA to boli vedecké inštitúcie zaoberajúce sa výskumom ochorenia COVID-19. Hackeri napadli aj Nepál, kde ich cieľom bola telekomunikačná infraštruktúra krajiny.
Nakoniec neobišli ani samotnú Čínu, kde napadli viacero zakázaných náboženských hnutí.
Finančný motív skupiny sa prejavil aj v menších útokoch na rôzne obchodné platformy s kryptomenami.
Metódy pri útokoch
Hackeri využívali pri svojich útokoch koncept spear phishing a watering hole. Využívali však aj slabiny verejne prístupných serverov.
V prípade spear phishingu posielali e-maily obsahujúce odkaz na škodlivé súbory. Súbory v odkaze boli prezentované buď ako dokument, alebo ako formulár, v závislosti od cieľového subjektu. Tieto súbory obsahujúce škodlivý malware boli umiestnené na kompromitovaných webových serveroch či na úložiskách Google Drive.
Pri koncepte watering hole hackeri kompromitovali alebo vytvorili falošné webové stránky, ktoré ich obete často navštevovali. Následne tieto stránky infikovali škodlivým Javascriptom, cez ktorý potom vykonávali útoky.
Trvalé nebezpečenstvo
Autori výskumu v záverečnej časti pripomínajú prepojenie Earth Lusca na Winnti Group, ktorá je aktívna v kybernetickom priestore približne od roku 2012. Odvolávajú sa pritom na viacero výskumov, napríklad od spoločnosti ESET z roku 2020, ktorý prepojil túto skupinu s útokmi na univerzity v Hongkongu.
Ďalej uvádzajú aj výskumy od Positive Technologies, či Dr.WEB, ktoré ukazujú na danú Winnti group ako útočníka v Hongkongu či v Strednej Ázii. V prvom prípade dokázali vystopovať pôvod priamo v Číne, čo potvrdzuje nálezy v správe od Trend Micro.
Nebezpečnú a v podstate celosvetovú aktivitu tejto organizovanej hackerskej skupiny sledovali aj ďalšie výskumy od Nippon Telegraph and Telephone Corporation. Ide o hlavnú japonskú telekomunikačnú spoločnosť, ktorá mala na starosti bezpečnosť olympijských hier v Tokiu 2020.
Na skupinu si posvietil aj Avast v prípade ich útokov v Mongolsku.
CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/
