Μια μακρόχρονη και ιδιαίτερα στοχευμένη εκστρατεία κυβερνοκατασκοπείας, με χρήση τεχνικών DNS poisoning, αποδίδεται σε ομάδα χάκερ που συνδέεται με την Κίνα.
Σύμφωνα με την Kaspersky, η ομάδα Evasive Panda αξιοποίησε παραποιημένες απαντήσεις DNS για να διανείμει το κακόβουλο λογισμικό MgBot σε θύματα σε Τουρκία, Κίνα και Ινδία, παραμένοντας αθέατη για σχεδόν δύο χρόνια.
Η δραστηριότητα καταγράφηκε μεταξύ Νοεμβρίου 2022 και Νοεμβρίου 2024 και συνδέεται με την ομάδα Evasive Panda, γνωστή επίσης ως Bronze Highland, Daggerfly και StormBamboo, η οποία εκτιμάται ότι δρα τουλάχιστον από το 2012. Όπως εξηγεί ο ερευνητής της Kaspersky Fatih Şensoy, οι επιθέσεις βασίστηκαν κυρίως σε τεχνικές adversary-in-the-middle (AitM), με ιδιαίτερη έμφαση στη χειραγώγηση αιτημάτων DNS.
Ψεύτικες ενημερώσεις, πραγματικό κακόβουλο λογισμικό
Οι επιτιθέμενοι, σύμφωνα με το The Hacker News, χρησιμοποίησαν δολώματα που μιμούνταν ενημερώσεις γνωστών εφαρμογών, όπως το SohuVA, το iQIYI Video, το IObit Smart Defrag και το Tencent QQ. Σε αρκετές περιπτώσεις, νόμιμοι τομείς —όπως το p2p.hd.sohu.com[.]cn ή ακόμα και το dictionary[.]com— «έδειχναν» προς IP διευθύνσεις που ελέγχονταν από τους δράστες, αποτέλεσμα πιθανής επίθεσης DNS poisoning.
Η επίθεση ξεκινούσε με έναν αρχικό loader, ο οποίος φόρτωνε shellcode και κατέβαζε ένα δεύτερο, κρυπτογραφημένο στάδιο καμουφλαρισμένο ως αρχείο PNG. Το τελικό payload αποκρυπτογραφούνταν μόνο στο σύστημα του θύματος, χάρη σε έναν συνδυασμό DPAPI και RC5, καθιστώντας εξαιρετικά δύσκολη την ανάλυσή του από ερευνητές ασφαλείας.
Το MgBot και η «αθόρυβη» παραμονή
Το τελικό στάδιο της επίθεσης ήταν μια παραλλαγή του MgBot, που εγχέεται σε νόμιμη διεργασία svchost.exe. Πρόκειται για ένα αρθρωτό implant με δυνατότητες υποκλοπής αρχείων, καταγραφής πληκτρολογήσεων, συλλογής δεδομένων clipboard, ηχογράφησης και κλοπής διαπιστευτηρίων από browsers. Το αποτέλεσμα είναι μια εξαιρετικά διακριτική αλλά επίμονη παρουσία στα μολυσμένα συστήματα.
Υποψίες για υποδομές και παρόχους
Ο ακριβής τρόπος αλλοίωσης των DNS απαντήσεων παραμένει άγνωστος. Οι ερευνητές, ωστόσο, δεν αποκλείουν είτε τη στοχευμένη παραβίαση παρόχων internet είτε την εκμετάλλευση routers και firewalls των θυμάτων.
Η υπόθεση Evasive Panda δείχνει πόσο εξελιγμένες έχουν γίνει οι επιχειρήσεις κυβερνοκατασκοπείας, με τεχνικές που κινούνται «κάτω από το ραντάρ» και αξιοποιούν ακόμη και απολύτως νόμιμες ψηφιακές υποδομές. Όπως σημειώνει η Kaspersky, πρόκειται για άλλη μία επίδειξη τεχνικής αρτιότητας που δυσκολεύει σοβαρά τον εντοπισμό και την αποτροπή τέτοιων επιθέσεων.
