Identifikovana nova grupa kineskih vojnih hakera Putter Panda

Vesti, 11.06.2014, 09:37 AM

Američka firma CrowdStrike identifikovala je još jednu grupu kineskih hakera koja se bavi sajber špijunažom i za koju se veruje da je povezana sa kineskom vojskom.

Kineska hakerska grupa “Putter Panda” aktivna je nekoliko godina, a tragovi jednog od njenih članova koji uključuju objave na internetu, fotografije i registracije domena ukazuju da grupa deluje pod pokroviteljstvom Jedinice 61486 Narodnooslobodilačke vojske Kine, čije je sedište u Šangaju i za koju se veruje da je povezana sa čuvenom Jedinicom 61398.

Grupa je odgovorna za ciljane napade na američku i evropsku svemirsku industriju i komunikacijske kompanije, tvrdi CrowdStike u svom izveštaju.

CrowdStrike prati aktivnosti ove grupe od 2012., ali se veruje da je grupa aktivna i umešana u sajber špijunažu još od 2007. godine.

Hakeri grupe Putter Panda šalju emailove žrtvama, računajući na to da će ih naterati da otvore priloge u emailovima koji navodno sadrže informacije o predstojećim konferencijama. Kada se prilozi otvore, preuzimaju se Trojanci za daljinski pristup bez znanja korisnika, i to zahvaljujući eventualno postojećim ranjivostima u Adobe Readeru ili Microsoft Officeu.

Izveštaj američke firme sadrži i tehničku analizu alata za daljinski pristup (RAT, Remote Access Tool), i to 4H RAT i 3PARA RAT, koje je CrowdStrike ranije analizirao a koje Putter Panda koristi u svojim operacijama.

Dokument sadrži i analizu dva droppera koje grupa koristi za instalaciju alata za daljinski pristup na računarima koji se meta napada. Jedan od njih koristi RC4 algoritam za dešifrovanje payloada dok se drugi briše nakon instalacije trojanskog programa.

CrowdStike u svom izveštaju navodi i ime jednog od članova grupe, 35-ogodišnjeg Čen Pinga, koji je jedan od glavnih ljudi u Jedinici 61486, koji je registrovao nekoliko internet domena koji su korišćeni u napadima za komandu i kontrolu malvera grupe Putter Panda. Čen Ping možda i nije pravo ime osobe koja koristi i nadimak “cpyy”, navodi se u izveštaju.

CrowdStrike je pronašao i lični blog osobe koja koristi ovaj nadimak, na kome se nalaze informacije koje ukazuju na to da Čen Ping radi za policiju i vojsku i da ga interesuje programiranje i umrežavanje. Izveštaj američke firme sadrži i druge informacije o Čen Pingu, koje su pronađene na internetu, uglavnom na društvenim mrežama i forumima.

CrowdStrike je pronašao privatne fotografije na Pingovim internet nalozima, uključujući i fotografije koje ga povezuju sa sedištem kineske vojske u Šangaju, kao i fotografije iz njegove spavaće sobe na kojima su oficiri kineske vojske.

Još jedna osoba koju je CrowdStrike povezao sa grupom je neko ko koristi nadimak “httpchen”, i ko tvrdi da je pohađao Fakultet za informatičku bezbednost na šangajskom univerzitetu Jiao Tong. Httpchen je navodno zadužen za regrutovanje novih kadrova za obaveštajne jedinice kineske vojske.

Krajem maja, američko Ministarstvo pravde je saopštilo da je podignuta optužnica protiv pet kineskih državljana, oficira kineske vojske zbog hakovanja američkih kompanija i sajber špijunaže. To je prvi put da su SAD zvanično podigle optužnicu protiv hakera za koje veruju da deluju pod pokroviteljstvom druge države.

Kina je demantovala navode iz optužnice protiv oficira svoje vojske i tvrdnje američkog tužilaštva nazvala izmišljotinama, uz još jedno podsećanje da je Kina ustvari žrtva američkih sajber napada.