Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/10/2013
Xina dirigix una campanya d'espionatge cibernètic contra Mongòlia
Els investigadors de seguretat de l’Equip d’Investigació d’Intel·ligència de ThreatConnect (TCIRT) diuen que han identificat una campanya d’espionatge cibernètic llançada per Xina contra Mongòlia.
En concret, pareix que Xina està tractant d’esbrinar informació sobre les relacions de Mongòlia amb la Unió Europea i països com els Estats Units, Corea del Sud i Japó. La campanya està dirigida no sols a entitats de Mongòlia, sinó també a aquelles que tinguen relacions econòmiques, diplomàtiques o militars amb el país. Segons els experts, els atacs comencen amb un document Microsoft Word especialment dissenyat que conté presumptament un anunci oficial no classificat respecte a Khaan Quest 2014, un exercici militar conjunt dels Estats Units i Mongòlia. L’arxiu pareix provindre de la unitat United States Army Pacific (USARPAC).
Quan s’òbriga el document, s’explota una vella vulnerabilitat de Microsoft Office i una peça de programari maliciós és infiltrada en l’ordinador.
A més del document Khaan Quest 2014, els atacants també utilitzen un fals anunci que pretén provindre del Ministeri de Defensa de Mongòlia relacionat amb l’entrenament amb l’exèrcit vietnamita.
Els servidors de comandament i control (C&C) utilitzats pel programari maliciós es troben a Hong Kong.
Després d’analitzar les dades de contacte utilitzades per a registrar els dominis i subdominis de C&C, els investigadors han descobert una adreça de correu electrònic que va ser mencionada en un document d’investigació acadèmica de 2008 denominat "Investigació sobre l’estratègia anticontaminació de P2P File Sharing".
L’autor del document és una dona xinesa anomenada "YanYun ", una estudiant de doctorat en el Departament d’Electrònica i Enginyeria de la Informació en la Universitat de Tecnologia de Dalian, Xina.
Hi ha proves que suggerixen que la peça de programari maliciosa aprofitada per estos atacants també ha sigut utilitzada pel famós grup de hackers xinés conegut com APT1 o Comment Crew. No obstant això, els experts diuen que açò no significa necessàriament que els dos equips estiguen vinculats o associats.