SugarGh0st - A fost descoperit un malware de spionaj legat de China care vizează cercurile diplomatice

Cercetătorii de la una dintre cele mai mari echipe comerciale de informaţii despre ameninţări la nivel global, Cisco Talos, au descoperit o operaţiune sofisticată de spionaj cibernetic care viza cercurile diplomatice globale, potrivit unui material publicat de Interesting Engineering.

Concret, ar fi vorba despre un grup, denumit "SneakyChef", care a vizat ministerele afacerilor externe şi ambasadele din Africa şi Europa. Modul lor de operare implică implementarea "SugarGh0st", o versiune personalizată a Gh0st RAT - un malware care există de peste 15 ani.

Acest troian de acces la distanţă oferă atacatorilor un acces fără precedent la sistemele victimelor, permiţându-le să sustragă mesaje diplomatice sensibile şi informaţii. Gh0st RAT a fost un instrument popular ales pentru atacurile cibernetice sponsorizate de stat.

Deşi cercetătorii Cisco Talos au descoperit activitatea lui SugarGh0st încă din august 2023, în timp ce observau ţinte din Coreea de Sud şi Uzbekistan, operaţiunea s-a extins de atunci.

Tactici înşelătoare

SneakyChef se foloseşte de documente, în special de fişiere scanate care par obişnuite la prima vedere, pentru a-şi transmite încărcătura maliţioasă. În plus, grupul a fost observat, de asemenea, folosind formulare false de înregistrare la conferinţe şi rezumate ale lucrărilor de cercetare ca vectori de atac.

"Majoritatea documentelor momeală pe care le-am găsit în această campanie sunt documente scanate ale agenţiilor guvernamentale, care nu par a fi disponibile pe internet", a notat Cisco Talos într-o postare pe blog.

Printre aceste documente s-au numărat un formular de cerere de paşaport indian, o listă de evenimente care implicau interacţiuni între preşedintele SUA şi premierul Indiei şi o circulară care pretinde a fi a Ambasadei Lituaniei.

Malware-ul SugarGh0st, de sine stătător, este o evoluţie a cadrului Gh0st RAT. Cercetătorii subliniază că malware-ul a oferit hackerilor capacităţi de recunoaştere îmbunătăţite, inclusiv capacitatea de a căuta anumite chei şi extensii de fişiere.

În plus, malware-ul dezvoltat le acordă hackerilor capacităţi de sustragere a datelor mai bine direcţionate, eludând în acelaşi timp măsurile de securitate convenţionale.

Odată ce reuşeşte să pătrundă în computerul victimă, SugarGh0st colectează detalii despre acesta, inclusiv numele de gazdă, structura sistemului de fişiere şi informaţii despre sistemul de operare. În mod remarcabil, malware-ul poate chiar să efectueze capturi de ecran şi să navigheze între mai multe ferestre.

Găsirea originilor malware-ului

Cisco Talos a atribuit Chinei operaţiunea SneakyChef, cu "încredere medie". Cu toate acestea, natura obscură a lumii spionajului cibernetic face dificilă stabilirea acestui lucru.

În timp ce utilizarea Gh0st RAT, un instrument preferat de actorii de ameninţare vorbitori de limbă chineză, şi preferinţele lingvistice ale acestora oferă indicii puternice, operaţiunile sub pavilion fals sau schimbul de instrumente între diferite grupuri rămân o posibilitate.

Ceea ce este la fel de discutabil este ţintirea entităţilor diplomatice pe o răspândire geografică atât de largă. Care ar putea fi motivaţiile din spatele acestor atacuri? Intenţionează atacatorii să obţină informaţii strategice privind deciziile de politică externă? Sau fac parte dintr-o campanie mai amplă de a semăna discordie între partenerii internaţionali?

În plus, cercetătorii de la Proofpoint au detectat recent că SugarGh0st este folosit împotriva organizaţiilor americane implicate în dezvoltarea inteligenţei artificiale. Această constatare a dus la speculaţii potrivit cărora ambiţiile nefaste ale SneakyChef s-ar putea extinde dincolo de spionajul diplomatic tradiţional.