Check Point odhalil 5 let trvající kyberšpionáž čínské APT skupiny, jejímž cílem byly vlády v regionu Asie a Tichomoří. Skupina Naikon poprvé útočila už v roce 2015 na vládní agentury a související organizace v zemích kolem Jihočínského moře. V průběhu roku 2015 se ovšem Naikon zdánlivě odmlčel a nebyly žádné informace o jejich aktivitách – až doposud.
V roce 2019 a na začátku letošního roku skupina ještě zintenzivnila své kyberšpionážní útoky. Primární útočnou metodou je infiltrování vládních organizací a ukradené kontakty, dokumenty a data jsou využity k dalším útokům. Hackeři navíc mohou extrahovat data i z vyměnitelných disků, pořizovat snímky obrazovky nebo sledovat stisknuté klávesy na počítačích obětí. Důvěra a diplomatické vztahy mezi ministerstvy a vládami zvyšují šanci na úspěch útoků prostřednictvím napadených počítačů některých z obětí útoků.
Výzkumníci přišli na stopu těmto pokročilým útokům při vyšetřování škodlivého e-mailu s infikovaným dokumentem, který byl zaslán z velvyslanectví v Asii a Tichomoří australské vládě. Dokument obsahoval malware Royal Road, který se snaží zneužít zranitelnosti, proniknout do PC uživatele a stáhnout nový sofistikovaný backdoor malware Aria-body z externích webových serverů, používaných Naikonem.
Detailní analýza odhalila další podobné infekční řetězce, které se používají k šíření backdooru Aria-body. Všechny ale dodržují základní 3bodový vzorec:
Maskování za oficiální vládní dokumenty: Naikon začíná své útoky vytvořením e-mailu a dokumentu, který obsahuje informace zajímavé pro cíle. Může to vycházet z veřejně dostupných informací nebo ze soukromých informací odcizených z jiných napadených systémů, aby nedošlo k podezření.
Pro infiltraci do cílových systémů jsou využity infikované dokumenty: Naikon využívá dokumenty, které nepozorovaně stáhnou backdoor Aria-body a umožní útočníkům přístup do sítí oběti.
Použití vládních serverů k dalším útokům: Naikon využívá infrastruktury a servery svých obětí k novým útokům, což jim pomáhá vyhnout se detekci. V jednom případě bylo zjištěno, že server používaný k útokům patří oddělení vědy a techniky filipínské vlády.
„Naikon se pokusil zaútočit na jednoho z našich zákazníků pod rouškou vládní organizace, takže se skupina dostala po pětileté odmlce znovu do našeho hledáčku. Zjistili jsme, že Naikon je sofistikovaná čínská APT skupina, jejímž motivem jsou kyberšpionáže a krádeže cenných informací. Posledních pět let v tichosti rozvíjela své techniky a vyvíjela novou kyberzbraň, backdoor Aria-body. Naikonu se dařilo vyhýbat detekci i vzhledem k využívání nástrojů, které jinak využívá mnoho jiných APT skupin,“ uvedl Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.
