Microsoft corectează fisuri de securitate folosite de hackeri chinezi pentru a ataca dizidenti, bănci si guvernul SUA

O clădire de 12 etaje aflat suburbia de nord a Shanghai-ului, Gaoqiao, care potrivit unui raport al firmei de securitate a internetului, Mandiant, este sediul unui grup de hacking militar condus de China
O clădire de 12 etaje aflat suburbia de nord a Shanghai-ului, Gaoqiao, care potrivit unui raport al firmei de securitate a internetului, Mandiant, este sediul unui grup de hacking militar condus de China (Peter Parks / AFP / Getty Images)

Microsoft a emis miercuri o serie de patch-uri, blocând câteva fisuri majore de securitate folosite anterior de hackeri chinezi, care au compromis website-uri precum Forbes.com, susţine Internaţional Business Times.

Atacul în cauză a vizat reţelele militare şi guvernamentale americane. Persoanele puteau fi infectate vizitând website-urile respective, deşi, în cele din urmă, sistemele de securitate americane au blocat tentativele de a fura date, au declarat experţii IT pentru BBC.

Microsoft susţine că a mers pe urmele atacului cibernetic şi a ajuns la grupul chinez Codoso, bănuit că este afiliat armatei chineze. Prima dată fiind identificat în public sub denumirea de Grupul Sunshop de către firma de securitate FireEye în 2013, echipa Codoso s-a aflat pe radarele securităţii începând cu 2010 după ce a comis o serie de atacuri folosind vulnerabilităţi de tip ziua zero.

Atacul a vizat câţiva oameni care probabil urmau să viziteze website-ul Forbes. Codul maliţios a fost găzduit pentru scurt timp pe website-ul Forbes, în perioada 28 noiembrie-1 decembrie 2014. Codul a folosit Flash Player-ul de la Adobe, care a fost hackuit de Codoso.

După ce devenea activ pe un calculator pe care rula sistemul de operare Windows, malware-ul Codoso încerca să monitorizeze programele instalate pe acesta şi toate reţelele cu care era conectat computerul, a declarat John Hultquist, care lucrează pentru compania de securitate Isight. Hackerii “au dorit să pătrundă în reţele şi să rămână acolo cât mai mult posibil pentru a colecta informaţii pe o perioadă lungă de timp”, a adăugat el.

Un raport al companiei Isight susţine că a ajuns la această concluzie pe baza indicatorilor tehnici din malware, precum şi datorită utilizării aceloraşi vulnerabilităţi nedezvăluite care au fost folosite şi în alte atacuri organizate de grupurile chineze de hacking.

Printre dovezile Isight: o parte din codul malware a fost scris în chineza simplificată, folosită în China continentală, şi s-a asemănat cu malware-ul Derusbi, care este tipic pentru hackerii chinezi; sistemul de comandă pentru malware s-a bazat pe un domeniu de Internet folosit anterior în operaţiuni de hacking ale chinezilor şi conţinea referiri la pagini de web care au mai fost folosite în trecut în atacuri cibernetice chineze.

Grupul a fost activ cel puţin din 2010 şi vizează companii din domenii precum Apărare, Finanţe şi industria energetică, dar şi guverne, dizidenţi politici şi think tank-uri, a declarat Isight.

Compania a declarat că atacurile cibernetice anterioare comise de Codoso au inclus un atac asupra website-ului comitetului norvegian al Premiului Nobel pentru Pace în 2010, un atac de tip phishing împotriva utilizatorilor guvernamentali în 2011 şi un atac asupra website-urilor legate de minoritatea uigură din China în 2013.

Un alt raport publicat de grupul pentru securitate Invincea confirmă faptul că website-ul Forbes s-a aflat sub un tip foarte rar de atac, numit o “exploatare înlănţuită de tip ziua zero”.

Unul dintre puţinele exemple ale acestui tip de atac, pe care raportul îl numeşte “unicorn”, este atacul cu virusul Stuxnet împotriva centralelor nucleare iraniene, aparent desfăşurat de grupurile de informaţii americane şi israeliene, conform Internaţional Business Times.

Malware-uri de la Codoso au fost implicate anterior în atacuri asupra Anthem Inc. şi au atacat programul Outlook de la Microsoft.

China a negat toate aceste acuzaţii.

Dacă v-a plăcut acest articol, vă invităm să vă alăturaţi, cu un Like, comunităţii de cititori de pe pagina noastră de Facebook.