Kineski APT osumnjičen za napad na lanac opskrbe na mongolske vladine agencije

Hakerska skupina koju sponzorira kineska država, također poznata kao APT, osumnjičena je da je provalila mongolske softverske tvrtke i kompromitirali aplikaciju za chat koju su koristile stotine mongolske vlade agencije.

Vjeruje se da se napad dogodio ranije ove godine, u lipnju, navodi se u danas objavljenom izvješću slovačke sigurnosne tvrtke ESET.

Hakeri su ciljali aplikaciju pod nazivom Able Desktop koju je razvila lokalna tvrtka pod imenom Able Software. Prema web stranici tvrtke, aplikacija je dodatak koji pruža mogućnosti razmjene izravnih poruka glavnom proizvodu tvrtke, platforma za upravljanje ljudskim resursima (HRM)..

Able Software tvrdi da njegovu platformu koristi 

više od 430 mongolskih vladinih agencija, uključujući Ured predsjednika, Ministarstvo pravosuđa, Ministarstvo zdravstva, razne lokalne agencije za provođenje zakona i mnoge lokalne uprave.

Softver koji zlorabe hakeri najmanje od 2018

ESET kaže da je zbog široke upotrebe među vladinim službenicima aplikacija bila u središtu nekoliko pokušaja distribucije zlonamjernog softvera od najmanje 2018.

Početni napadi vrtili su se oko dodavanja zlonamjernog softvera aplikaciji za chat Able Desktop i širenja trojanizirane verzije programa za instalaciju aplikacije putem e-pošte, u nadi da će prevariti zaposlenike da se zaraze.

Korisni teret u tim napadima uključivao je HyperBro backdoor i PlugX trojanca za daljinski pristup.

No iako su ti napadi bili uspješni, ESET kaže da su se stvari promijenile u lipnju 2020., kada se čini da su napadači pronašli su put unutar Ableove pozadine i ugrozili sustav koji isporučuje ažuriranja softvera za sav Ableov softver aplikacija

Istraživači ESET-a kažu da su napadači zlorabili ovaj sustav u najmanje dva navrata kako bi isporučili aplikaciju za chat Able Desktop sa zlonamjernim softverom putem službenog mehanizma ažuriranja.

Za ove napade, uljezi su opet isporučili HyperBro backdoor, ali su se promijenili s PlugX na Tmanager kao komponentu za daljinski pristup.

U vrijeme pisanja ovog teksta nije bilo jasno jesu li napadači koristili kompromitiranu značajku ažuriranja Able za instaliranje zlonamjernog softvera na sve sustave do kojih su mogli doći ili su napadali samo odabrane mete.

Osim što je obavijestio Able Software, ESET nije mogao pružiti takve pojedinosti.

Nadalje, ESET nije mogao precizno odrediti napad na određenu grupu, budući da su sve sorte zlonamjernog softvera korištene u napadima prethodno koristili različiti APT-ovi povezani s Kinom, kao što su LuckyMouse i TA428, ali i na zbirku poslužiteljske infrastrukture poznate kao ShadowPad — koja je sama povezana s mnogim drugim kineskim APT-ovima kao što su CactusPete, TICK, IceFog, KeyBoy i kišobran skupina Winnti.

ESET vjeruje da te grupe ili surađuju, koriste iste alate, ili su podgrupe dio veće prijetnje koja kontrolira njihove operacije i ciljanje.

Osim toga ESET izvješće, također je objavila tvrtka za kibernetičku sigurnost Avast vlastito izvješće o tim napadima, također povezujući počinitelje s Kinom i klasificirajući napade kao cyber-špijunažu.