האקרים סיניים תקפו דיפלומטים
חברת הסייבר ארקטיק וולף (Arctic Wolf) דיווחה כי קבוצת האקרים המזוהה עם סין, ששמה UNC6384, עומדת מאחורי סדרת מתקפות נגד נציגויות דיפלומטיות ומשרדי ממשלה באירופה, שבוצעו בין ספטמבר לאוקטובר. על פי הדוח הטכני שפורסם בתחילת נובמבר, המתקפות כוונו לגופים דיפלומטיים בהונגריה, בבלגיה, באיטליה ובהולנד ולמוסדות ממשלתיים בסרביה.
ההאקרים ניצלו פרצת אבטחה במערכת ההפעלה וינדוז (Windows), הנובעת מניהול לקוי של קיצורי דרך (LNK), כדי לפרוץ למחשבים באמצעות מכתבי מייל הכוללים קישורי פישינג ממוקדים. ההודעות כללו קישורים שהובילו להורדת קבצי LNK המתחזים למסמכים רשמיים של האיחוד האירופי, נאט"ו או אירועים דיפלומטיים מרובי משתתפים.
לאחר פתיחת הקובץ, המנגנון הזדוני מפעיל פקודת PowerShell שמחלצת קובץ TAR מוצפן תוך הצגת קובץ PDF תמים לכאורה לעיני המשתמש. הארכיון מכיל שלושה רכיבים: כלי עזר לגיטימי של מדפסת קאנון (Canon), ספרייה זדונית בשם CanonStager שנועדה לטעון את הווירוס באמצעות טכניקת העלאה ברקע וקובץ מוצפן של וירוס PlugX.
התוכנה מעניקה לתוקפים שליטה מלאה על המחשב: הרצת פקודות, הקלטת מקלדת, העברת קבצים, איסוף מידע מערכת ועוד. לפי ארקטיק וולף, גודל הקבצים של CanonStager ירד בהדרגה מ־700 קילובייט לארבעה קילובייט בלבד, מה שמלמד על גרסאות חדשות וקלות יותר שנועדו להשאיר עקבות מינימליים.
קבוצת UNC6384 נבדקה בעבר על ידי קבוצת מעקב ואיתור סכנות של גוגל (Google Threat Intelligence Group), שזיהתה דמיון טקטי וטכנולוגי לקבוצת הריגול הסינית הידועה מוסטנג פנדה (Mustang Panda). פעילותה מתמקדת בעיקר בריגול מדיני, עם שימוש בגרסה חדשה של PlugX בשם SOGU.SEC, הפועלת ישירות בזיכרון האופרטיבי והמובנה.
החוקרים מציינים כי בחירת היעדים - גופים דיפלומטיים באירופה העוסקים בתיאום ביטחוני, מדיניות חוצת גבולות ושיתופי פעולה רב־לאומיים - תואמת את צורכי המודיעין האסטרטגי של סין. המטרה: איסוף מידע על לכידות בריתות אירופיות, יוזמות הגנה משותפות ומנגנוני קבלת החלטות בקנה מידה בינלאומי.
הדוח מסכם כי המתקפה מדגישה שוב את הצורך בעדכוני אבטחה מהירים, בהקשחת מערכות דואר ובשימוש קבוע בכלים לזיהוי קבצי LNK חשודים, במיוחד בקרב ארגונים דיפלומטיים וממשלתיים באירופה.
