Za atakami stoją grupy stojące za komunistycznym rządem w Pekinie. Komuniści wykorzystali Wuhan jako zasłonę dymną do przeprowadzania operacji. Działali jednak nie przez atak za pomocą broni chemicznej, ale przez uderzenia w sieci. Wykorzystali do tego media. Powszechna obawa o zdrowie i życie ułatwiła ataki chińskich haktywistów z APT. Zastosowali metodę rozsiewania wirusów komputerowych za pomocą spreparowanych plików Microsoft Word. Użyli ich jako broni w której wabikiem jest informacja o koronawirusie. Rozpoczęta przez Chiny operacja jest działaniem długofalowym wymierzonym zarówno w rządy, jak i sektor prywatny. Do tego stosują pliki w formacie RTF.

Do pliku jest dołączany kod RoyalRoad. Taką nazwę uzyskał od analityków powiązanych z wywiadem i ekspertów do spraw cyberbezpieczeństwa z firmy Anomali. Spreparowane dokumenty wykorzystują błąd znany też jako 8.t RTF. Mechanizm działania polega na tym, że po otwarciu pliku złośliwy kod ląduje w folderze autostartu. Jest on wykorzystywany przez Word w trakcie pracy do na przykład załadowania plików użytkownika, czy ustawień. Wykorzystuje możliwość uruchamiania plików bibliotek. W DLL (dynamicznie podpinanych bibliotekach) umieszczane są przez programistów wspólne dla różnych aplikacji funkcje. Obok oszczędzania miejsca taka technika pozwala na optymalizację zaplecza programów, czyli ich kodu źródłowego. Ujednolica go, ale również przy ataku na określoną bibliotekę pozwala na wykorzystanie jej do ataku za pomocą różnych programów.

Tym razem jednak DLL służy do ustanowienia połączenia z chińskim centrum zarządzania. Wedle ustaleń Checkpoint końcowym etapem ataku jest pobranie na komputer po stworzeniu już łańcuchu zarażonych plików ściągnięcie z sieci modułu RAT. Ma on również formę pliku DLL. Dla ukrycia, co zawiera jest on również szyfrowany i ładowany do pamięci. Taki schemat pozwala na tworzenie scenariuszy dynamicznego ataku. Jeśli jeden klocek jest wadliwy atakujący zastępuje go innym.

Pobrany na dysk chiński moduł RAT umożliwia między innymi zrobienie rzutu ekranu. Obok tego umożliwia zdalne przeglądania zawartości plików oraz folderów, a także tworzenie nowych katalogów. Umożliwia zarazem przesuwanie i usuwanie plików, a także pobieranie nowych z sieci. Atakujący mają wgląd we wszystkie uruchomione na komputerze aplikacje, a także możliwość uruchamiania przez sieć innych programów.

Za pomocą serwerów Vultr i domen zarejestrowanych przy użyciu firmy GoDaddy tworzona jest cała infrastruktura. Jest to dowód na to, że państwa nie kończą swych operacji z powodu pandemii, a nawet szukają sposobów na wykorzystania jej na własną korzyść. Wskutek ograniczeń i lęki na konferencji poświęconej bezpieczeństwu RSA znalazło się poniżej oczekiwanych piętnastu procent zaproszonych gości. Takie firmy jak Verizon, IBM, czy AT&T wycofały się. Tym samym możliwości pewnej wymiany informacji w ramach osób zajmujących się cyberbezpieczeństwem zmalały, ale tylko na oficjalnych spotkaniach.

Praca przed komputerem zapewnia bezpieczeństwo przed pandemią. Dla Chin dzielących ludzi na klasy za pomocą kodów QR w Wuhan wykorzystanie technologii dla funkcjonowania państwa jest codziennością. Jednocześnie część firm przeszła na pracę zdalną i przez wyjście z intranetów otworzyła się na potencjalne ataki. Przeciwdziałają temu platformy takie jak SOAR nastawione na automatyzację i odpowiedź.

Ostatnimi czasy branże sieciowego bezpieczeństwa zmaga się z wysypem wiadomości nastawionych na pozyskiwanie ludzi metodą na wędkę, a także oszustw. Ze względu na przeniesienie się pracy znacznej części ludzi do sieci, a także czerpania z niej informacji kluczowe dla organizacji zajmującej się walką z pandemią jest zabezpieczenie jej infrastruktury przed atakami. Zarażenie wirusem systemu komputerowego to nie jest już tylko kwestia utraty danych, ale również kwestia, czy dany kraj nie zostanie sparaliżowany.

Dla wywiadów i rządów obok działań w zakresie tak zwanego „zarządzania kryzysowego” znaczenie ma również poszukiwanie sposobów na wyciągnięcie korzyści. Uzyskanie tutaj informacji, zbudowanie nowych metod płatności, czy przygotowania do późniejszych rozgrywek geopolitycznych wydają się abstrakcją, ale one również mają znaczenie. Dla niektórych aktorów politycznych, takich jak Chiny, to doskonała szansa na prowadzenie działań rozpoczętych w przypadku komunistów z Pekinu za pomocą grupy APT 3. Wymieniona tutaj grupa jest jedną z najaktywniej działających wedle oceny analityka FireEye Scotta Hendersona.

Jacek Skrzypacz