Κινέζοι κρατικά υποστηριζόμενοι χάκερς μόλυναν κατά λάθος ένα ευρωπαϊκό νοσοκομείο με malware.
Ερευνητές διαπίστωσαν ότι ένα περιστατικό κυβερνοασφάλειας σε ευρωπαϊκό νοσοκομείο αναδεικνύει την ανεξέλεγκτη εξάπλωση κακόβουλου λογισμικού από χάκερς που συνδέονται με τον κινεζικό στρατό.
Οι ειδικοί της εταιρείας κυβερνοασφάλειας Check Point ανταποκρίθηκαν νωρίτερα φέτος σε ένα περιστατικό που αφορούσε ένα νοσοκομείο, το οποίο είχε επηρεαστεί κατά λάθος από μια αυτο-αναπαραγόμενη μόλυνση malware που εισήχθη στο δίκτυο του ιδρύματος υγειονομικής περίθαλψης.
Οι ερευνητές της CheckPoint εντόπισαν μια μολυσμένη μονάδα USB πίσω στην Camaro Dragon, έναν απειλητικό φορέα κατασκοπείας με έδρα την Κίνα, οι επιχειρήσεις του οποίου επικεντρώνονται σε κυβερνήσεις και ιδρύματα της Νοτιοανατολικής Ασίας.
Οι ανταποκριτές του περιστατικού ανακάλυψαν ότι ένας υπάλληλος του νοσοκομείου είχε παρακολουθήσει ένα συνέδριο στην Ασία και είχε κάνει μια παρουσίαση με έναν άλλο συμμετέχοντα. Ο φορητός υπολογιστής αυτού του ατόμου είχε μολυνθεί με το WispRider – ένα ισχυρό κακόβουλο λογισμικό που μπορεί όχι μόνο να παρακάμψει λύσεις προστασίας από ιούς, να δημιουργήσει backdoor σε ένα σύστημα, αλλά και να εξαπλωθεί σε νεο-συνδεδεμένους αφαιρούμενους δίσκους.
Όταν ο υπάλληλος του νοσοκομείου μοιράστηκε το USB του με το άτομο στο οποίο το παρουσίαζε, μολύνθηκε. Ο υπάλληλος επέστρεψε στο νοσοκομείο του στην Ευρώπη, σύνδεσε το USB και μετέδωσε τη μόλυνση στο σύστημα υπολογιστών του νοσοκομείου.
Οι ερευνητές θορυβήθηκαν από την ικανότητα του κακόβουλου λογισμικού να διαδίδεται αυτόνομα και ανεξέλεγκτα σε πολλές συσκευές.
Η ομάδα, επίσης γνωστή στους ερευνητές ως Mustang Panda και LuminousMoth, κατηγορείται εδώ και καιρό ότι χρησιμοποιεί μολυσμένες μονάδες USB ως μέσο για την εξαπόλυση επιθέσεων, ιδίως εναντίον κυβερνήσεων στη Νοτιοανατολική Ασία και την Αφρική.
Ο Gabor Szappanos, Διευθυντής Έρευνας Απειλών της Sophos, δήλωσε ότι οι ερευνητές διαπίστωσαν ότι τον Νοέμβριο του περασμένου έτους, κυβερνητικοί οργανισμοί σε όλη τη Νοτιοανατολική Ασία είχαν στοχοποιηθεί με μονάδες USB που περιείχαν το κακόβουλο λογισμικό PlugX – ένα κακόβουλο εργαλείο που αναπτύχθηκε το 2008 από την Mustang Panda.
Η εκστρατεία αυτή στόχευε κυβερνητικούς οργανισμούς στη Μογγολία, την Παπούα Νέα Γουινέα, τη Γκάνα, τη Ζιμπάμπουε και τη Νιγηρία.
Μια άλλη κινεζική εκστρατεία USB στη Νοτιοανατολική Ασία μπορεί να έχει ξεκινήσει ήδη από τον Σεπτέμβριο του 2021, σύμφωνα με ένα blog της Mandiant από τον Νοέμβριο.
Η Check Point δήλωσε ότι η έκδοση του κακόβουλου λογισμικού WispRider που είδαν σε αυτή την επίθεση είχε βελτιωθεί, με βελτιωμένη λειτουργία backdoor και καλύτερη τακτική διάδοσης.
Οι ερευνητές πρότειναν στους οργανισμούς να αποθαρρύνουν τη χρήση άγνωστων μονάδων δίσκων σε εταιρικές συσκευές, συμπεριλαμβανομένης της πλήρους απαγόρευσης της χρήσης τους, εκτός εάν προέρχονται από αξιόπιστες πηγές και έχουν ελεγχθεί για κακόβουλο λογισμικό ή εναλλακτικές λύσεις όπως η αποθήκευση στο cloud ή οι κρυπτογραφημένες πλατφόρμες κοινής χρήσης αρχείων.
Η Mustang Panda έχει κατηγορηθεί στο παρελθόν για στοχοποίηση πρωθυπουργών και ηγετών σε όλη τη Νοτιοανατολική Ασία, συμπεριλαμβανομένης της Μιανμάρ, καθώς και της υπηρεσίας πληροφοριών της Ινδονησίας, ακόμη και της ρωσικής κυβέρνησης. Έχει επίσης στοχεύσει τηλεπικοινωνίες σε όλο τον κόσμο.
Η ομάδα έχει χρησιμοποιήσει δολώματα που συνδέονται με τον COVID-19 και την εισβολή της Ρωσίας στην Ουκρανία για τη διάδοση κακόβουλου λογισμικού, όπως το PlugX, επί σειρά ετών.
Μια έκθεση του Reuters διαπίστωσε ότι η Mustang Panda είχε κατηγορηθεί για παραβίαση των συστημάτων πληροφορικής της Αφρικανικής Ένωσης, φτάνοντας στο σημείο να παρακολουθεί τις τροφοδοσίες των καμερών ασφαλείας.
Πηγή πληροφοριών: therecord.media
