A Google szakemberei szerint új kémkampány zajlik

Egyre kifinomultabb módszereket alkalmaznak a kínai hátterű hekkercsoportok a nemzetközi diplomáciai színtéren. A Google biztonsági szakértői szerint egy ázsiai diplomaták ellen indított akció a Kínai Népköztársaság stratégiai érdekeit szolgálhatta. A célzott kiberkémkedési kampány több kontinensre is kiterjedhetett.

2025. 08. 27. 4:57

A Google kiberbiztonsági csoportja leplezett le egy kínai céggel összefüggő hekkercsoportot Forrás: AFP

További Külföld híreink

Migráns gyilkolt meg egy tinédzsert Amszterdamban

A Google szerint Kína állhat a háttérben

A Google jelentése szerint összetett, többlépcsős kampány zajlott, amelyet valószínűleg a Kínai Népköztársaság érdekeit szolgáló kiberkémkedési műveletekhez kapcsoltak.

A támadók a UNC6384 nevű, eddig pontosan nem azonosított, de Kínához köthető csoporthoz tartozhatnak.

A GTIG szerint a kampány egyértelmű példája az UNC6384 műveleti képességei folyamatos fejlődésének, és kiemeli a Kínához kapcsolódó fenyegetések kifinomultságát. Patrick Whitsell, a Google egyik vezető biztonsági mérnöke a Bloombergnek elmondta: nagyjából két tucat áldozatot fertőztek meg a vírussal, köztük elsősorban délkelet-ázsiai diplomatákat. Hozzátette:

Feltételezem, hogy a diplomaták elég érzékeny dokumentumokat tartanak a laptopjukon, amit a napi munkájukhoz használnak. És igen, ha egyszer bejutottál arra az eszközre, hozzáférsz ezekhez a dokumentumokhoz.

További Külföld híreink

Magyarország a Trump-féle új világrend egyik fő nyertese

Digitális aláírás és korábbi támadások

A támadási módszer egyik különös eleme, hogy a telepítőprogram digitális aláírását egy kínai cég, a Chengdu Nuoxin Times Technology Co. Ltd. szolgáltatta.

Az ilyen tanúsítványokkal ellátott szoftvereket a rendszerek megbízhatónak érzékelik, és gond nélkül telepítik.

A GTIG szerint az elmúlt két évben legalább 25 alkalommal bukkantak olyan kártevőkre, amelyeket ugyanilyen aláírással láttak el. Két korábbi, nagy volumenű kémkedési kampány is hasonló mintázatot mutatott, és a Google elemzői nem zárják ki, hogy ugyanaz az UNC6384 állhatott a háttérben. A szervezet úgy fogalmazott:

Továbbra is nyitott kérdés, hogy a fenyegetés mögött állók hogyan szerzik meg ezeket a tanúsítványokat. Lehet, hogy az adott cég áldozat, és feltörték a tanúsítványkezelő rendszerét – de az is lehet, hogy tudatosan vesz részt a kiberkémkedésben.

További Külföld híreink

Lesújtó brit felmérés: a választók 71 százaléka szerint Starmer kudarcot vallott a határvédelemben

A Mustang Panda árnyéka

Az UNC6384 működési módszerei és eszközei nagy hasonlóságot mutatnak a hírhedt kínai hekkercsoport, a Mustang Panda stílusával. A csoport más néven is ismert: TEMP.hex, Bronze President, Camaro Dragon vagy Red Lich néven is szerepel a nemzetközi biztonsági nyilvántartásokban.

Az általuk használt második lépcsős kémszoftver már 2008 óta ismert a kibervédelemmel foglalkozó szakértők előtt, és azóta folyamatosan fejlesztett változatai bukkannak fel különféle támadások során.

A Google figyelmeztetése szerint a kibertámadások terjedése, különösen a diplomaták elleni célzott akciók, egyre komolyabb biztonsági kihívást jelentenek. A legújabb eset is arra figyelmeztet, hogy az államilag támogatott hekkercsoportok eszköztára rendkívül gyorsan fejlődik – és akár megbízhatónak tűnő rendszereken keresztül is hozzáférhetnek érzékeny információkhoz.