Η APT32 στόχευσε υπερασπιστές ανθρωπίνων δικαιωμάτων με spyware

By Digital Fortress

24 Φεβρουαρίου 2021

Η κρατική hacking ομάδα APT32, που έχει συνδεθεί με την κυβέρνηση του Βιετνάμ, συντόνισε αρκετές επιθέσεις spyware που στόχευσαν υπερασπιστές ανθρωπίνων δικαιωμάτων του Βιετνάμ (HRDs) μεταξύ Φεβρουαρίου 2018 και Νοεμβρίου 2020.

Το spyware που χρησιμοποίησε η APT32 επέτρεψε στους hackers να διαβάσουν έγγραφα από τα παραβιασμένα συστήματα, να τρέξουν κακόβουλα εργαλεία και προγράμματα και να παρακολουθήσουν τις δραστηριότητες των θυμάτων.

“Αυτές οι τελευταίες επιθέσεις της Ocean Lotus (APT32) τονίζουν την καταπίεση που αντιμετωπίζουν οι Βιετναμέζοι ακτιβιστές στο εσωτερικό και στο εξωτερικό για την υπεράσπιση των ανθρωπίνων δικαιωμάτων”, δήλωσε η ερευνήτρια της Amnesty Tech, Likhita Banerji. “Αυτή η παράνομη παρακολούθηση παραβιάζει το δικαίωμα στην ιδιωτική ζωή και καταστέλλει την ελευθερία της έκφρασης“.

“Η κυβέρνηση του Βιετνάμ πρέπει να διεξάγει ανεξάρτητη έρευνα. Πιθανή άρνηση θα αυξήσει τις υποψίες ότι η κυβέρνηση υποστηρίζει τις επιθέσεις της Ocean Lotus“.

 

Οι υπερασπιστές ανθρωπίνων δικαιωμάτων μολύνθηκαν με το spyware μέσω phishing emails

Όπως είπε η Διεθνής Αμνηστία, αυτές οι επιθέσεις αποτελούν μέρος μιας μακροχρόνιας εκστρατείας (περίπου 15 χρόνων) που επικεντρώνεται στην παρακολούθηση και κατασκοπεία Βιετναμέζων υπερασπιστών των ανθρωπίνων δικαιωμάτων, bloggers και μη κερδοσκοπικών οργανισμών (εντός και εκτός των συνόρων του Βιετνάμ).

Η “συντονισμένη εκστρατεία spyware” της APT32 στόχευσε τον ακτιβιστή/blogger Bui Thanh Hieu, τη βιετναμέζικη οργάνωση Overseas Initiative for Conscience Empowerment (VOICE) και έναν Βιετναμέζο blogger, του οποίου η ταυτότητα δεν έχει αποκαλυφθεί.

“Η VOICE και οι δύο bloggers έλαβαν emails που περιείχαν spyware μεταξύ Φεβρουαρίου 2018 και Νοεμβρίου 2020“, πρόσθεσε η Διεθνής Αμνηστία. Το τελικό payload εγκαταστάθηκε στους Windows υπολογιστές των θυμάτων μέσω του Kerrdown downloader της APT32.

Η κρατική hacking ομάδα κατέβασε και χρησιμοποίησε Cobalt Strike beacons για να αποκτήσει απομακρυσμένη πρόσβαση στα παραβιασμένα συστήματα.

Οι χρήστες Macs δεν ξέφυγαν από την ομάδα APT32. Οι επιτιθέμενοι χρησιμοποίησαν ένα macOS backdoor, που εντοπίστηκε από την TrendMicro σε προηγούμενες επιθέσεις στο Βιετνάμ. Αυτό το backdoor παρέχει στους εισβολείς τη δυνατότητα λήψης, μεταφόρτωσης και εκτέλεσης αρχείων και εντολών.

Το Facebook εξέθεσε την πραγματική ταυτότητα της APT32

Η APT32 είναι μια προηγμένη κρατική hacking ομάδα που υποστηρίζεται από το Βιετνάμ και στοχεύει επιχειρήσεις, οργανώσεις ανθρωπίνων δικαιωμάτων και ακτιβιστές του Βιετνάμ, καθώς και παγκόσμια ερευνητικά ινστιτούτα και οργανισμούς μέσων ενημέρωσης.

Οι hackers έχουν, επίσης, συνδεθεί με παραβιάσεις των δικτύων θυγατρικών των Toyota και Lexus, των δικτύων των BMW και Hyundai κλπ.

Πιο πρόσφατα, η APT32 επιχείρησε να κλέψει πληροφορίες σχετικά με τον COVID-19, μέσω spear-phishing επιθέσεων που στόχευσαν το Υπουργείο Διαχείρισης Έκτακτης Ανάγκης της Κίνας και την κυβέρνηση της Wuhan.  

Καθώς φαίνεται, η πραγματική ταυτότητα της APT32 αποκαλύφθηκε από την ομάδα ασφαλείας του Facebook τον Δεκέμβριο του 2020. Η πλατφόρμα κοινωνικής δικτύωσης είπε ότι οι hackers συνδέονται με τη βιετναμέζικη IT εταιρεία CyberOne Group.

“Αν και η Διεθνής Αμνηστία δεν μπόρεσε να επαληθεύσει οποιαδήποτε άμεση σύνδεση μεταξύ της Ocean Lotus και της CyberOne, οι επιθέσεις που περιγράφονται σε αυτήν την έρευνα επιβεβαιώνουν ένα μοτίβο στόχευσης ατόμων και οργανισμών του Βιετνάμ“, είπε η Διεθνής Αμνηστία.

Πηγή: Bleeping Computer

 https://www.secnews.gr