SugarGh0st: S-a descoperit un program malware de spionaj legat de China care vizeaza cercurile diplomatice

Cercetatorii de la una dintre cele mai mari echipe comerciale de informatii privind amenintarile la nivel mondial, Cisco Talos, au descoperit o operatiune sofisticata de spionaj cibernetic care vizeaza cercurile diplomatice globale, relateaza Interesting Engineerings.

S-a constatat ca grupul, denumit „SneakyChef”, vizeaza ministerele afacerilor externe si ambasadele din Africa si Europa. Modul lor de operare implica implementarea „SugarGh0st”, o versiune personalizata a RAT Gh0st – un malware care exista de peste 15 ani.

Acest troian de acces la distanta ofera atacatorilor un acces fara precedent la sistemele victimelor, permitandu-le sa sustraga informatii si comunicatii diplomatice sensibile.

Desi cercetatorii Cisco Talos au descoperit activitatea SugarGh0st inca din august 2023, in timp ce observau tinte din Coreea de Sud si Uzbekistan, operatiunea s-a extins de atunci.

SneakyChef se foloseste de documente, in special de fisiere scanate care par obisnuite la prima vedere, pentru a-si transmite incarcatura malitioasa. In plus, grupul a mai fost observat folosind ca vectori de atac formulare false de inregistrare la conferinte si rezumate ale lucrarilor de cercetare.

„Majoritatea documentelor momeala pe care le-am gasit in aceasta campanie sunt documente scanate ale agentiilor guvernamentale, care nu par a fi disponibile pe internet”, a remarcat Cisco Talos intr-o postare pe blog.

Printre aceste documente se numarau un formular de cerere de pasaport indian, o lista de evenimente care implicau interactiuni intre presedintele SUA si prim-ministrul Indiei si o circulara care imita Ambasada Lituaniei.

Malware-ul SugarGh0st, in sine, este o evolutie a cadrului RAT Gh0st. Cercetatorii subliniaza ca malware-ul a oferit hackerilor capacitati de recunoastere imbunatatite, inclusiv capacitatea de a cauta anumite chei si extensii de fisiere.

Odata ce reuseste sa intre intr-un computer victima, SugarGh0st colecteaza detalii despre computer, inclusiv numele de gazda, structura sistemului de fisiere si informatii despre sistemul de operare. In mod remarcabil, malware-ul poate chiar sa faca capturi de ecran si sa navigheze intre mai multe ferestre.

Cisco Talos a atribuit operatiunea SneakyChef Chinei cu „incredere medie”. Cu toate acestea, natura obscura a lumii spionajului cibernetic face dificila stabilirea acestui lucru.

In timp ce utilizarea RAT Gh0st, un instrument preferat de actorii vorbitori de limba chineza, si preferinta lingvistica a acestora ofera indicii puternice, operatiunile sub steag fals sau schimbul de instrumente intre diferite grupuri raman o posibilitate.

Ceea ce este la fel de discutabil este tintirea unor entitati diplomatice pe o arie geografica atat de larga. Care ar putea fi motivatiile din spatele acestor atacuri? Intentioneaza atacatorii sa obtina informatii strategice cu privire la deciziile de politica externa? Sau fac parte dintr-o campanie mai ampla de a semana discordie intre partenerii internationali?

In plus, cercetatorii de la Proofpoint au detectat recent ca SugarGh0st este utilizat impotriva organizatiilor americane implicate in dezvoltarea inteligentei artificiale. Aceasta descoperire a condus la speculatii conform carora ambitiile nefaste ale SneakyChef s-ar putea extinde dincolo de spionajul diplomatic traditional.