Chińscy hakerzy atakują Polskę. Wykorzystują popularną aplikację

Europejskie instytucje rządowe znalazły się na celowniku cyberprzestępców z Azji. Zamiast tworzyć skomplikowaną infrastrukturę, napastnicy wykorzystują oprogramowanie, z którego miliony osób korzystają każdego dnia. Chodzi o popularną aplikację Discord. Eksperci ostrzegają przed nową falą zagrożeń.

Ataki z Chin coraz częstszeAtaki z Chin coraz częstsze
Źródło zdjęć: © Unsplash | Unsplash
Robert Kędzierski
Robert Kędzierski

Analitycy firmy ESET poinformowali o wykryciu nowej serii cyberataków wymierzonych w europejskie organizacje rządowe. Na liście celów znalazły się instytucje zlokalizowane między innymi w Polsce, a także w Belgii, Włoszech oraz Hiszpanii. Za kampanią stoi powiązana z Chinami grupa znana pod nazwą Webworm. Według ustaleń ekspertów, przestępcy skupiają się przede wszystkim na działalności szpiegowskiej oraz kradzieży poufnych dokumentów.

Zamiast budować własne, łatwe do wykrycia przez systemy bezpieczeństwa sieci, napastnicy zdecydowali się na ukrycie swojej aktywności w legalnym ruchu sieciowym. Do sterowania złośliwym oprogramowaniem wykorzystano popularny komunikator Discord oraz biznesowe usługi firmy Microsoft, w tym dysk sieciowy OneDrive. Taka taktyka pozwoliła im przez dłuższy czas omijać standardowe procedury ochronne stosowane w urzędach.

Ostre słowa o doradcach. Premiera Biznes Klasy o 17:00

Dwa nowe narzędzia szpiegowskieEchoCreep i GraphWorm w akcji

W trakcie badań zidentyfikowano dwa wcześniej nieznane programy typu backdoor, które pozwalały na nieautoryzowany dostęp do komputerów ofiar. Pierwszy z nich, nazwany przez badaczy EchoCreep, opierał swoje działanie na Discordzie. Służył on zarówno do wysyłania raportów z zainfekowanych maszyn, jak i do odbierania kolejnych poleceń od twórców wirusa. Drugie złośliwe oprogramowanie, GraphWorm, podszywało się pod standardowy ruch usług Microsoftu. W tym przypadku do transferu wykradzionych informacji oraz pobierania instrukcji wykorzystywano infrastrukturę OneDrive.

Kluczowym momentem w śledztwie okazało się odszyfrowanie przez analityków ponad czterystu wiadomości przesyłanych za pośrednictwem Discorda. Pozwoliło to na zlokalizowanie serwera wykorzystywanego przez przestępców oraz zidentyfikowanie kilkudziesięciu zainfekowanych celów.

– Udało nam się odzyskać polecenia wykonywane z jednego z serwerów, co dało nam wgląd w potencjalne techniki używane przez tę grupę. Wykorzystywano m.in. open-source’owy skaner podatności, co pozwoliło nam także zidentyfikować niektóre z ich głównych celów – wyjaśnia Eric Howard, analityk firmy ESET.

Zagrożenie ze strony grupy Webworm rośnie

Grupa Webworm do tej pory koncentrowała swoją aktywność głównie na obszarze Azji, jednak najnowsze ustalenia dowodzą wyraźnej zmiany kierunku działań w stronę Starego Kontynentu. Z informacji udostępnionych przez badaczy wynika również, że na przełomie lat 2025 i 2026 napastnicy sięgnęli po chmurę Amazon Web Services (AWS) do wyprowadzania pozyskanych danych.

Nowy sposób oszustów. "Poprawili" groźną metodę ataku na konta
Nowy sposób oszustów. "Poprawili" groźną metodę ataku na konta

Eksperci z ESET potwierdzili już między innymi wyciek plików z jednej z hiszpańskich instytucji rządowych. Przedstawiciele firmy zaznaczają, że struktury przestępcze wciąż pozostają aktywne, co oznacza konieczność zachowania wysokiej gotowości przez europejskie podmioty administracyjne.

Wybrane dla Ciebie
Nowy boom na giełdzie. Maszyny podobne do ludzi podbijają rynki
Nowy boom na giełdzie. Maszyny podobne do ludzi podbijają rynki
800 plus do zmiany? Porównał polskie wydatki z innymi. "Powyżej średniej"
800 plus do zmiany? Porównał polskie wydatki z innymi. "Powyżej średniej"
Ukryli złoto warte tysiące euro. Tak Laponia zaprasza turystów
Ukryli złoto warte tysiące euro. Tak Laponia zaprasza turystów
Zmiana we władzach Interii. Dzieci Zygmunta Solorza w komplecie
Zmiana we władzach Interii. Dzieci Zygmunta Solorza w komplecie
Pesymizm na rynkach. Ceny ropy wciąż rosną
Pesymizm na rynkach. Ceny ropy wciąż rosną
Chcą odebrać immunitet Jakiemu. Taki majątek zgromadził europoseł
Chcą odebrać immunitet Jakiemu. Taki majątek zgromadził europoseł
Oddają mieszkania za jedno euro. Kryzys na rynku w Finlandii
Oddają mieszkania za jedno euro. Kryzys na rynku w Finlandii
To naprawdę jest możliwe. Zwolennicy limitu populacji Szwajcarii zyskują w sondażach
To naprawdę jest możliwe. Zwolennicy limitu populacji Szwajcarii zyskują w sondażach
Europoseł prosił o pomoc medyczną. Wszystko przez warunki w unijnym hotelu
Europoseł prosił o pomoc medyczną. Wszystko przez warunki w unijnym hotelu
Spór o tunel w Łodzi. PKP PLK chce przejąć maszynę TBM
Spór o tunel w Łodzi. PKP PLK chce przejąć maszynę TBM
Obowiązkowa apteczka w aucie jeszcze nie teraz. Na zmianę poczekamy
Obowiązkowa apteczka w aucie jeszcze nie teraz. Na zmianę poczekamy
Obstawił i wygrał 300 tys. zł. Bukmacher nie zapłacił. Jest wyrok
Obstawił i wygrał 300 tys. zł. Bukmacher nie zapłacił. Jest wyrok