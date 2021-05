Check Point Research (CPR), la divisione Threat Intelligence di Check Point® Software Technologies Ltd.(NASDAQ: CHKP), e il Global Research & Analysis Team (GReAT) di Kaspersky, hanno scoperto dei cyberattacchi che stanno prendendo di mira gli Uiguri, un gruppo etnico turco in Xinjiang, Cina e Pakistan. Gli hacker, spacciandosi per l’ONU e per una falsa fondazione per i Diritti Umani chiamata “Turkic Culture and Heritage Foundation”, inviano documenti malevoli con l’obiettivo di ingannare vittime di alto profilo e installando una backdoor al software Windows in esecuzione per avviare attività di spionaggio.

Lotem Finkelsteen, Head of Threat Intelligence di Check Point:

“Questi attacchi informatici che prendono di mira gli uiguri, sfruttano vistosamente il Consiglio dei Diritti Umani delle Nazioni Unite per indurre le vittime a scaricare malware dannosi. Crediamo che questi attacchi informatici siano spinti da uno spionaggio ben preciso, con l'obiettivo finale di installare una backdoor nei computer delle vittime di alto profilo nella comunità uigura. Gli attacchi sono progettati per rilevare le impronte digitali dei dispositivi infetti, compresi tutti i programmi in esecuzione. Da quello che possiamo dire, questi attacchi sono in corso, e sembra che si stia creando una nuova infrastruttura per attacchi futuri.”

Due vettori d'infezione

I ricercatori di CPR e GReAT hanno identificato due vettori di infezione utilizzati dagli aggressori:

1. Tramite documenti inviati per e-mail. I documenti cercano di scaricare una backdoor in Windows e vengono inviati a obiettivi specifici via e-mail.

2. Tramite un falso sito web della fondazione. Per convincere i suoi visitatori a scaricare una backdoor .NET, con la scusa di scaricare uno “security scanner”, prima di inserire le informazioni sensibili necessarie per una donazione.

Il documento malevolo a tema ONU

Durante l'indagine, un documento a tema ONU chiamato “UgyhurApplicationList.docx” ha catturato l'interesse dei ricercatori di CPR e GReAT. Il documento portava il logo del Consiglio dei Diritti Umani delle Nazioni Unite (UNHRC), e conteneva contenuti ingannevoli di un'assemblea generale delle Nazioni Unite che discuteva delle violazioni dei diritti umani.

Il falso sito web della fondazione per i Diritti Umani

Un'ulteriore analisi del documento di cui sopra ha portato i ricercatori alla scoperta di un sito web di una fondazione falsa che tenta di prendere di mira gli uiguri. Gli aggressori hanno creato una fondazione per i diritti umani chiamata TCAHF, che sta per “Turkic Culture and Heritage Foundation”. L'organizzazione finanzierebbe e sosterrebbe gruppi che lavorano per la cultura turca e i diritti umani. Tuttavia, la maggior parte del contenuto del sito web è copiato da un sito web legittimo, “opensocietyfoundations.org”.

La funzionalità dannosa del sito web TCAHF è ben mascherata, e appare solo quando un bersaglio tenta di fare domanda per una sovvenzione. Il sito poi, per assicurarsi che il sistema operativo sia sicuro prima di inserire informazioni sensibili per la transazione, chiede alle vittime di scaricare un programma per scansionare i loro ambienti. Il sito offre due opzioni di download, una per MacOS e l'altra per Windows.

Sebbene i ricercatori non siano stati in grado di trovare similarità di codice o infrastruttura con un gruppo di minacce noto, attribuiscono questa attività, con fiducia medio-bassa, a un aggressore di lingua cinese. Esaminando le macro malevoli nel documento, i ricercatori hanno notato che alcuni estratti del codice erano identici al codice VBA apparso in più forum cinesi, e potrebbero essere stati copiati direttamente da lì.