Kinijos įsilaužėlių grupė, sekama kaip „StormBamboo“, sukompromitavo neatskleistą interneto paslaugų teikėją (IPT), kad apnuodytų automatinius programinės įrangos atnaujinimus kenkėjiška programa.
Ši kibernetinio šnipinėjimo grupė, taip pat sekama kaip „Evasive Panda“, „Daggerfly“ ir „StormCloud“, veikia mažiausiai nuo 2012 m., taikydama organizacijas žemyninėje Kinijoje, Honkonge, Makao, Nigerijoje ir įvairiose Pietryčių ir Rytų Azijos šalyse.
Penktadienį „Volexity“ grėsmių tyrėjai atskleidė, kad Kinijos kibernetinio šnipinėjimo gauja išnaudojo nesaugius HTTP programinės įrangos atnaujinimo mechanizmus, kurie nepatvirtino skaitmeninių parašų, kad aukų „Windows“ ir „MacOS“ įrenginiuose būtų galima naudoti kenkėjiškas programas.
„Kai šios programos nuskaitydavo savo naujinimus, užuot įdiegusios numatytą naujinimą, jos įdiegdavo kenkėjiškas programas, įskaitant MACMA ir POCOSTICK (dar žinomas kaip MGBot), bet tuo neapsiribojant“, – penktadienį paskelbtoje ataskaitoje paaiškino kibernetinio saugumo bendrovė „Volexity“.
Norėdami tai padaryti, užpuolikai perėmė ir modifikavo aukų DNS užklausas ir apnuodijo jas kenkėjiškais IP adresais. Taip kenkėjiška programa buvo pristatyta į taikinių sistemas iš „StormBamboo“ komandų ir valdymo serverių, nereikalaujant vartotojo sąveikos.
Pavyzdžiui, jie pasinaudojo 5KPlayer užklausomis, kad atnaujintų youtube-dl priklausomybę, kad išstumtų jų C2 serveriuose esančią diegimo programą su užpakalinėmis durimis.
Pažeidę taikinio sistemas, grėsmės veikėjai įdiegė kenkėjišką Google Chrome plėtinį (ReloadText), leidžiantį surinkti ir pavogti naršyklės slapukus ir pašto duomenis.
„Volexity“ pastebėjo, kad „StormBamboo“ taikėsi į kelis programinės įrangos pardavėjus, kurie naudoja nesaugias naujinimo darbo eigas, naudodami įvairaus sudėtingumo veiksmus kenkėjiškų programų siuntimui“, – pridūrė mokslininkai.
„Volexity pranešė ir dirbo su IPT, kuris ištyrė įvairius pagrindinius įrenginius, teikiančius srauto nukreipimo paslaugas jų tinkle. Kai IPT iš naujo paleido ir perėmė įvairius tinklo komponentus neprisijungus, DNS apsinuodijimas iš karto sustojo.”
2023 m. balandžio mėn. ESET grėsmių tyrinėtojai taip pat pastebėjo, kad įsilaužimų grupė įdiegė „Pocostick“ (MGBot) „Windows“ užpakalines duris, piktnaudžiaudama Tencent QQ pranešimų siuntimo programos automatinio naujinimo mechanizmu atakų, nukreiptų prieš tarptautines NVO (nevyriausybines organizacijas), metu.
Beveik po metų, 2024 m. liepos mėn., „Symantec“ grėsmių paieškos komanda pastebėjo Kinijos įsilaužėlius, nusitaikiusius į Amerikos NVO Kinijoje ir kelias organizacijas Taivane su naujomis „Macma MacOS Backdoor“ ir „Nightdoor Windows“ kenkėjiškų programų versijomis.
Abiem atvejais, nors užpuoliko įgūdžiai buvo akivaizdūs, tyrėjai manė, kad tai buvo tiekimo grandinės ataka arba priešo viduryje (AITM) ataka, tačiau negalėjo nustatyti tikslaus atakos metodo.