Čínská hackerská skupina Evasive Panda je spojována s neobvyklým útokem, při kterém byl v rámci automatické aktualizace aplikace pro zasílání zpráv Tencent QQ distribuován malware MsgBot. Na aktivitu upozornila bezpečnostní společnost ESET.
Cílem útočníků byli ve většině případů zaměstnanci mezinárodních neziskových organizací (NGO) působících v Číně, konkrétně v provinciích Kan-su, Kuang-tung a Ťiang-su. ESET začal útok vyšetřovat již v lednu 2022, kdy společnost zjistila, že při provádění aktualizací obdržela legitimní čínská aplikace instalační program pro zadní vrátka MgBot. V dalším průběhu vyšetřování se ukázalo, že škodlivá aktivita sahá až do roku 2020.
Jak se skupině Evasive Panda podařilo kompromitovat aktualizace Tencent QQ není jasné. ESET navrhuje dvě hypotézy. Vzhledem k cílené povaze útoků je možné, že útočníci kompromitovali aktualizační servery QQ. Pro úspěšný útok by bylo nezbytné, aby útočníci identifikovali cílové uživatele a doručili jim malware, zatímco ostatní uživatelé by stáhli legitimní aktualizaci.
Škodlivé adresy URL, IP a soubory (ESET)
Druhou hypotézou je tzv. Adversary-in-the-Middle (AitM) útok. AitM je formou útoku, kdy útočník odposlechne komunikaci na cestě mezi odesílatelem a příjemcem. AitM útok by byl možný, pokud by Evasive Panda dokázala kompromitovat zranitelná zařízení, jako jsou routery nebo síťové uzly (gateway). S přístupem k páteřní infrastruktuře poskytovatelů připojení (IP rozsah použitý při útoku patří China Telecom) by Evasive Panda byla schopna zachytit a odpovědět na požadavky na aktualizaci prováděné prostřednictvím HTTP, nebo dokonce modifikovat pakety za běhu.
Nezanedbatelnou možností je, že Evasive Panda provedla útok s vědomím či dokonce spoluprací se společností Tencent či China Telecom. Čínské zákony dávají jednotlivcům a společnostem povinnost spolupracovat na zpravodajské a kontrašpionážní činnosti se státními orgány. Příslušnost útočníků k čínskému státu nelze prokázat, ale cílení na zaměstnance mezinárodních NGO a špionážní či sledovací povaha útoku naznačují, že skupina velmi pravděpodobně jednala ve státním zájmu.
Hypotetický diagram útoku na dodavatelský řetězec (ESET)
Evasive Panda (známá také jako BRONZE HIGHLAND a Daggerfly) je čínská APT skupina, která je aktivní nejméně od roku 2012. MgBot je malware vyvinutý Evasive Panda a není známo, že by ho v minulosti použil někdo jiný. Skupina provádí kybernetickou špionáž proti jednotlivcům v Číně, Hongkongu, Macau či Nigérii. V minulosti byly cílem i vládní instituce v Číně, Macau a v zemích jihovýchodní a východní Asie, konkrétně v Myanmaru, na Filipínách, Tchaj-wanu a ve Vietnamu.
Zdroje: ESET, bleepingcomputer.com