Peretas Menggunakan Yayasan Palsu untuk Menargetkan Minoritas Uighur di Tiongkok

  • Whatsapp
Peretas Menggunakan Yayasan Palsu untuk Menargetkan Minoritas Uighur di Tiongkok

Komunitas Uighur yang berlokasi di China dan Pakistan telah menjadi subjek kampanye spionase yang sedang berlangsung yang bertujuan untuk mengelabui target agar mengunduh pintu belakang Windows untuk mengumpulkan informasi sensitif dari sistem mereka.

“Banyak upaya telah dilakukan untuk menyamarkan muatan, baik dengan membuat dokumen pengiriman yang tampaknya berasal dari Perserikatan Bangsa-Bangsa menggunakan tema terkait terkini, atau dengan membuat situs web untuk organisasi yang tidak ada yang mengklaim mendanai kelompok amal,” menurut penelitian bersama yang diterbitkan oleh Check Point Research dan Kaspersky hari ini.

Bacaan Lainnya

Uyghur adalah kelompok etnis minoritas Turki yang berasal dari Asia Tengah dan Timur dan diakui sebagai penduduk asli Daerah Otonomi Uyghur Xinjiang di Cina Barat Laut. Setidaknya sejak 2015, otoritas pemerintah telah menempatkan wilayah itu di bawah pengawasan ketat, menempatkan ratusan ribu orang ke dalam penjara dan kamp interniran yang oleh pemerintah disebut sebagai “Pusat Pendidikan dan Pelatihan Kejuruan.”

auditor kata sandi

Selama bertahun-tahun, komunitas juga telah menerima serangkaian serangan dunia maya berkelanjutan yang telah dimanfaatkan mengeksploitasi rantai dan lubang penyiraman untuk menginstal spyware yang dirancang untuk memanen dan mengekstrak data sensitif dari aplikasi email dan perpesanan serta menjarah foto dan kredensial login.

Awal Maret ini, Facebook mengungkapkan bahwa mereka mengganggu jaringan pelaku jahat yang menggunakan platformnya untuk menargetkan komunitas Uighur dan membujuk mereka untuk mengunduh perangkat lunak berbahaya yang akan memungkinkan pengawasan perangkat mereka, mengaitkan “operasi terus-menerus” dengan pelaku ancaman yang berbasis di China. dikenal sebagai Mata Jahat.

Serangan dunia maya terbaru mengikuti modus operandi serupa di mana serangan tersebut melibatkan pengiriman dokumen umpan bertema PBB (“UgyhurApplicationList.docx”) ke target dengan dalih membahas pelanggaran hak asasi manusia. Tujuan dari pesan phishing adalah untuk memikat penerima agar menginstal pintu belakang pada mesin Windows.

Dalam vektor infeksi alternatif yang diamati oleh para peneliti, sebuah yayasan hak asasi manusia palsu yang disebut “Yayasan Budaya dan Warisan Turki” (“tcahf[.]org “) – dengan kontennya disalin dari Open Society Foundations yang didirikan George Soros – digunakan sebagai umpan untuk mengunduh pintu belakang .NET yang dimaksudkan sebagai pemindai keamanan, hanya untuk menyambung ke server jarak jauh dan mengirimkan data yang dikumpulkan, yang mana termasuk metadata sistem dan daftar aplikasi yang diinstal dan proses yang berjalan.

“Fungsionalitas berbahaya dari situs web TCAHF disamarkan dengan baik dan hanya muncul ketika korban mencoba untuk mengajukan hibah,” kata para peneliti. “Situs web tersebut kemudian mengklaim harus memastikan sistem operasi aman sebelum memasukkan informasi sensitif untuk transaksi tersebut, dan karena itu meminta korban untuk mengunduh program untuk memindai lingkungan mereka.”

Setidaknya dua versi berbeda dari implan Windows telah terdeteksi hingga saat ini, satu disebut “WebAssistant” yang tersedia untuk diunduh dari situs web penipu pada Mei 2020 dan varian kedua yang dijuluki “TcahfUpdate” yang tersedia pada Oktober 2020.

Kedua perusahaan keamanan siber tersebut tidak mengaitkan serangan tersebut dengan kelompok ancaman yang diketahui tetapi menyematkan gangguan pada musuh berbahasa Mandarin dengan kepercayaan rendah hingga menengah berdasarkan tumpang tindih dalam kode VBA yang disematkan dalam dokumen Word. Sejauh ini, hanya segelintir korban di China dan Pakistan yang telah diidentifikasi, berdasarkan data telemetri yang dikumpulkan selama analisis.

Tidak mengherankan, para penyerang di balik kampanye terus aktif dan mengembangkan infrastrukturnya, dengan kelompok tersebut mendaftarkan dua domain baru pada tahun 2021, yang keduanya dialihkan ke situs web badan pemerintah Malaysia yang disebut “Terengganu Islamic Foundation,” menyarankan aktor ancaman tersebut. mungkin telah mengarahkan pandangannya pada target di Malaysia dan Turki.

“Kami percaya bahwa serangan dunia maya ini dimotivasi oleh spionase, dengan permainan akhir operasi ini adalah pemasangan pintu belakang ke komputer target profil tinggi di komunitas Uighur,” kata Lotem Finkelsteen, kepala ancaman Check Point. intelijen. “Serangan tersebut dirancang untuk perangkat yang terinfeksi sidik jari … [and] dari apa yang dapat kami ketahui, serangan ini sedang berlangsung, dan infrastruktur baru sedang dibuat untuk apa yang tampak seperti serangan di masa depan. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *