Chińskojęzyczna grupa stojąca za zaawansowanym długotrwałym cyberzagrożeniem Naikon atakuje organizacje wojskowe, rządowe i cywilne znajdujące się w pobliżu Morza Południowochińskiego, wokół którego wciąż narasta konflikt terytorialny między różnymi narodami Azji Południowo-Wschodniej.
Naikon jest znany także jako APT-30. Według nowego raportu globalnego zespołu zajmującego się badaniami oraz analizą firmy Kaspersky Lab (GReAT) wśród jego celów znajdują się Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur i Nepal.
Jak wiele innych kampanii APT, Naikon próbuje zainfekować swoje ofiary poprzez wysłanie im spersonalizowanych wiadomości phishingowych, w których znajdują się szkodliwe pliki wykonywalne imitujące dokumenty. Gdy ofiara kliknie załącznik, pojawia się plik wykonywalny ukryty pod postacią dokumentu, który po cichu wykorzystuje znaną od dawna lukę Microsoft Office i instaluje na komputerze ofiary szkodliwe oprogramowanie.
Grupa APT działała przez pięć lat, opierając się o zwyczaje kulturowe każdego z atakowanych krajów. Jeśli w danym kraju popularne było używanie osobistego adresu e-mail do prowadzania firmy, atakujący korzystali z takiego trendu i tworzyli swoje adresy e-mail, które następnie wykorzystywali do wysłania skutecznych wiadomości phishingowych.
Grupa stworzyła także w krajach docelowych własną infrastrukturę poleceń i kontroli w celu dostarczania codziennej obsługi połączeń w czasie rzeczywistym oraz kradzieży danych. Ponadto uczestnicy grupy mogli przechwytywać ruch w całej sieci ofiary i wydawać około 48 odrębnych poleceń zdalnych, włącznie z wykonaniem całkowitego spisu plików systemowych, pobieraniem i wysyłaniem danych, instalowaniem dodatkowych modułów czy pracą z wierszem poleceń.
Wspomniane 48 poleceń umożliwiało grupie przejęcie całkowitej kontroli nad każdym sprzętem, który został zainfekowany Naikonem. Nadrzędnym celem szkodnika było gromadzenie informacji geopolitycznych.
„Przestępcom stojącym za atakami Naikon udało się stworzyć niezwykle elastyczną infrastrukturę, która może zostać rozmieszczona w każdym atakowanym państwie, umożliwiając tunelowanie informacji z systemów ofiar do centrum kontroli. Jeśli atakujący postanowią następnie polować na kolejny cel w innym państwie, mogą po prostu ustanowić nowe połączenie” – wyjaśnia główny badacz bezpieczeństwa w Kaspersky Lab, Kurt Baumgartner. „Dużym ułatwieniem pracy dla ugrupowania szpiegowskiego Naikon jest również posiadanie wyspecjalizowanych, lokalnych operatorów skupionych na konkretnej grupie celów”.
W kraju, którego nazwy Kaspersky Lab nie podaje, hakerzy należący do grupy Naikon zdołali włamać się do Kancelarii Prezydenta, Sił zbrojnych, Biura Sekretarza Rady Ministrów, Rady Bezpieczeństwa Narodowego, Biura Prokuratora Generalnego, Biura koordynacji krajowych służb wywiadowczych, Urzędu Lotnictwa Cywilnego, Departamentu Sprawiedliwości, Policji Federalnej oraz Administracji Prezydenta i Kadra Kierownicza.
Grupa APT Naikon kradnie informacje geopolityczne od krajów skupionych wokół Morza Południowochińskiego
Eksperci z Kaspersky Lab zalecają, aby nigdy nie otwierać załączników od nieznajomych, używać zaawansowanego rozwiązania chroniącego przed szpiegowaniem oraz dbać o aktualizacje systemu operacyjnego.