FireEye: Hackerii chinezi au folosit Dropbox pentru a monitoriza activiştii şi jurnaliştii din Hong Kong

Atacatorii au folosit Dropbox şi alţi furnizori de servicii de stocare de tip cloud pentru a transmite malware-ul, după ce au vizat utilizatorii cu un mesaj de tip phishing.

Hackerii au lansat în august 2015 o campanie de tip spearphishing – care implică atacarea unei persoane specifice cu un email care pare să provină de la o sursă cunoscută – împotriva organizaţiilor media şi a liderilor protestelor din Hong Kong. Există dovezi că Beijingul a fost îngrijorat cu privire la Hong Kong, unde cele 79 de zile de proteste pro-democraţie au blocat aproape în întregime oraşul semiautonom în 2014. FireEye nu a legat în mod direct guvernul chinez de această campanie de hacking, dar a menţionat că atacul a avut nivelul sofisticat întâlnit atunci când este implicat şi un anumit guvern sau stat.

“Accesul grupurilor de hackeri la reţelele organizaţiilor media ar putea oferi guvernului [chinez] un avertisment în privinţa viitoarelor proteste, informaţii despre liderii grupului pro-democraţie şi informaţii interne necesare pentru a submina activitatea pe Internet, aşa cum s-a întâmplat la mijlocul anului trecut, când mai multe website-uri au fost blocate cu ajutorul unor atacuri de tip denial-of-service”, a precizat FireEye recent, conform Internaţional Business Times.

Activiştii din Hong Kong încearcă deja să fie cu un pas înaintea supravegherii [guvernamentale] prin folosirea mai multor telefoane mobile, aplicaţii de mesagerie criptate, aplicaţii de mesagerie de scurtă durată şi cuvinte de cod pentru a programa întâlniri în persoană. În timp ce jurnaliştii şi activiştii au început să fie mai atenţi cu emailurile, hackerii au început să ataşeze malware-uri de fişiere în Dropbox şi în cazul altor furnizori de servicii de tip cloud. Dropbox nu a răspuns imediat solicitării de a comenta situaţia, deşi implicarea companiei în cadrul anchetei a ajutat FireEye să determine că atacul din luna august ar putea face parte dintr-o operaţiune mai amplă desfăşurată de admin@338, un cunoscut actor în domeniul ameninţărilor cibernetice.

“Cooperarea noastră a dezvăluit ceea ce pare să fie o a doua operaţiune în desfăşurare, deşi nu avem suficiente dovezi pentru a verifica dacă admin@338 este în spatele ei”, a susţinut FireEye. “Ciclul de viaţă al atacului a urmat acelaşi tipar, deşi unele dintre numele fişierelor au fost diferite, ceea ce indică faptul că ar putea exista versiuni multiple ale malware-ului. În plus, în timp ce operaţiunea care viza mass media din Hong Kong a implicat un număr mai mic de ţinte şi a avut o durată limitată, noi suspectăm că aceasta a doua operaţiune implică până la 50 de ţinte.”

China a negat în mod constant implicarea sa în campaniile majore de hacking împotriva propriilor săi cetăţeni sau împotriva entităţilor internaţionale. Cercetarea realizată de FireEye a avut loc după ce oficialii americani au declarat ziarului Washington Post că agenţia chineză de spionaj civil, Ministerul Securităţii de Stat, continuă să desfăşoare acţiuni majore de spionaj comercial împotriva companiilor americane.

China şi SUA au căzut de acord în luna septembrie să nu desfăşoare sau să susţină furtul de proprietate intelectuală. Dar, directorul Agenţiei Naţionale de Informaţii din SUA, James Clapper, a declarat recent că este sceptic în ceea ce priveşte noul aşa-numit acord sino-american anti-hacking [încheiat în timpul vizitei preşedintelui chinez Xi Jinping la Washington în luna septembrie], care îşi propune să pună capăt unei noi campanii de atacuri cibernetice împotriva reţelelor americane. Clapper a precizat că furturile de proprietate intelectuală comise de China în SUA sunt atât de răspândite încât există semnale că regimul comunist chinez sprijină aceste atacuri.