Az amerikai FireEye szerdán tette közzé azzal kapcsolatos felfedezéseit, hogy az APT32 néven hivatkozott, vietnámi állami hátterűnek tartott hekkercsoport január és április között rendszeres támadásokat folytatott a koronavírus-helyzet kezelésében kulcsszerepet játszó kínai állami szervezetek ellen. A kiberbiztonsági cég hivatalos blogján megjelent tájékoztatás szerint az OceanLotus néven is ismert csoport személyes és hivatalos email-fiókokat próbált kompromittálni az illetékes minisztériumnál és a vuhani helyi kormányzatnál.

Ahogy más, korábbi felfedezések kapcsán több biztonsági szakértő, úgy a FireEye mostani közleménye is megerősíti, hogy az APT32 a vietnámi állam szponzorációjával hajthatta végre az akciókat. Emellett arra is felhívják a figyelmet, hogy a mostani kampány abba a trendbe illeszkedik, ahogy az egyes kormányok a nekik dolgozó hekkerek segítségével igyekeznek minél több információhoz jutni a koronavírus-járványról kormányzati, üzleti vagy egészségügyi célpontok támadásával.

A Reuters beszámolója a FireEye fenyegetés-felderítési részlegének egyik vezetőjét idézi, aki úgy látja, hogy a vírus prioritásnak számít az állami hírszerzési műveletek között: mindenki megpróbál minden lehetséges eszközzel információkat szerezni, az APT32 pedig éppenséggel az az eszköz, amellyel Vietnám rendelkezik. A jegyzőkönyv kedvéért érdemes megemlíteni, hogy a FireEye felfedezéseit eddig sem a vietnámi, sem a kínai illetékesek nem kommentálták, sőt a Reuters még azt is megjegyzi, hogy a hekkerek által használt címekre küldött kérdésekre sem érkezett válasz.

A vietnámi kormány egyébként gyorsan és határozottan reagált már a koronavírus megjelenésével kapcsolatos legelső hírekre. Egyebek mellett lezárták a kínai határt, emellett szigorú programot léptettek életbe a fertőzöttek kapcsolatainak felkutatására és a karanténszabályok betartatására, ennek következtében pedig sikerült kimagaslóan alacsonyan tartaniuk a regisztrált megbetegedések számát. Úgy fest, hogy a gyors reakció része volt a kibertérben indított művelet is, amit jól jellemez, hogy a FireEye tudomása szerint ez volt a nemzetközi térben indított legelső kampány, egy héttel megelőzve az első Kínán kívüli fertőzött azonosítását.

Manapság mindenki ilyesmivel próbálkozik

Ezt így gondolja a New York-i Külkapcsolatok Tanácsa (Council on Foreign Relations) is: a szervezet szerint a hekkercsoport műveletei egyrészt a Kínával szembeni bizalmatlanságot tükrözik, másrészt most konkrét értelmezést adnak annak a mondásnak, amelynek alapján, ha Kína tüsszent egyet, akkor a szomszédai megfáznak. Az nem világos, hogy a fenti behatolási kísérletek mennyiben voltak sikeresek, azonban a FireEye úgy látja, hogy a bűnözőktől az állami megbízásból dolgozó hekkerekig mindenki áthangszerelte a műveleteit – bár különböző okokból, de minden esetben a koronavírus-járvánnyal összefüggésben.

Ahogy néhány nappal ezelőtt írtuk, a biztonsági kutatók szerint a kényszerű távmunka és távoktatás tömeges megjelenésével többszörösére növekedett a kiberbiztonsági incidensek száma, és a biológiai vészhelyzettel párhuzamosan a digitális térben is hasonló folyamatok zajlanak. A FireEye ehhez hozzáteszi, hogy a krízis minden országot olyan extrém módon érint, hogy az információszerzésre irányuló törekvések meghaladják egy "sima" fegyveres konfliktus szükségszerűségeit is. 

A támadással kapcsolatos részletekért érdemes felkeresni a FireEye blogját, ahol a vonatkozó bejegyzésből kiderül, hogy a célpontokat olyan email-üzenetekkel szórták meg, amelyekből egy követő link segítségével a hekkerek értesültek róla, ha a címzettek megnyitották a levelet. Nekik aztán további emaileket küldtek, amelyekben már a METALJACK nevű vírust futtató rosszindulatú csatolmányok is szerepeltek. A Reuters itt az ESET egyik munkatársát is idézi, aki a riportban felidézi, hogy az APT32 ugyanezt a malware-t használta az elmúlt hónapokban több kelet-ázsiai műveletében is, amelyekkel a kormányzati és kereskedelmi szervezetek mellett politikai aktivistákat és vietnámi disszidenseket is célzott.