Ένας γνωστός παράγοντας απειλών ξεκίνησε αυτό που φαίνεται να είναι οι πρώτες κινεζικές απόπειρες hacking που στοχεύουν ψηφιακά στοιχεία της Ουκρανίας από τη ρωσική εισβολή πριν από έναν μήνα.
Η ύποπτη δραστηριότητα αναφέρθηκε αρχικά σε μια σύντομη περίληψη που δημοσιεύθηκε από την Ουκρανία CERT (Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών) νωρίτερα αυτή την εβδομάδα και επιβεβαιώθηκε από την SentinelLabs την Πέμπτη ότι συνδέεται με τον κινέζο παράγοντα απειλών γνωστό ως «Scarab ».
Ενεργός τουλάχιστον από το 2012, ο Scarab είχε παρατηρηθεί στο παρελθόν να στοχεύει άτομα σε όλο τον κόσμο, συμπεριλαμβανομένων ανθρώπων στις Ηνωμένες Πολιτείες, τη Ρωσία και αλλού.
Ο παράγοντας απειλών είναι κυρίως γνωστός για τη χρήση της προσαρμοσμένης backdoor Scieron, η οποία πιστεύεται ότι είναι ο προκάτοχος της οικογένειας κακόβουλου λογισμικού HeaderTip που χρησιμοποιήθηκε στην πρόσφατη ουκρανική καμπάνια.
Το κακόβουλο λογισμικό φαίνεται ότι έχει σχεδιαστεί κυρίως για να λειτουργεί ως πρώτος σταδιακός, που πιθανότατα προορίζεται να αναπτύξει ένα πιο προηγμένο ωφέλιμο φορτίο δεύτερου σταδίου.
Με ένα θέμα που συνδέεται με τη ρωσική εισβολή, η επίθεση που παρατηρήθηκε πρόσφατα χρησιμοποιεί ένα αρχείο αρχείου RAR που περιέχει ένα εκτελέσιμο αρχείο που έχει σχεδιαστεί για να ανοίγει ένα έγγραφο γοητείας και να αναπτύσσει το HeaderTip με τη μορφή αρχείου DLL.
Μιμούμενο την Εθνική Αστυνομία της Ουκρανίας, το έγγραφο δέλεαρ έχει θέμα τη διατήρηση τεκμηρίων βίντεο για ρωσικά στρατιωτικά εγκλήματα.
Η SentinelLabs λέει ότι είναι πολύ σίγουρο ότι το UAC-0026 είναι το Scarab APT, με βάση στοιχεία όπως ο σχεδιασμός κακόβουλου λογισμικού, οι σχετικοί φορτωτές και η επαναχρησιμοποίηση της μοναδικής υποδομής για τους ηθοποιούς.
Οι ερευνητές του SentinelLabs λένε ότι ο Σκαραβαίος πιθανότατα «λειτουργεί για σκοπούς συλλογής γεωπολιτικών πληροφοριών». Πρόσφατα, η ομάδα εθεάθη να στοχεύει Ευρωπαίους διπλωμάτες κατά την αποχώρηση των ΗΠΑ από το Αφγανιστάν.
Σε διάφορες καμπάνιες που σχετίζονται με τον Scarab, οι ερευνητές ασφαλείας παρατήρησαν ότι τα χρησιμοποιούμενα έγγραφα δέλεαρ δημιουργήθηκαν σε ένα σύστημα Windows με ρυθμίσεις κινεζικής γλώσσας.
«Η δραστηριότητα UAC-0026 είναι το πρώτο δημόσιο παράδειγμα κινεζικού παράγοντα απειλής που στοχεύει την Ουκρανία από την έναρξη της εισβολής. Ενώ υπήρξε μια αξιοσημείωτη αύξηση στις δημοσίως αναφερόμενες επιθέσεις κατά της Ουκρανίας την τελευταία εβδομάδα περίπου, αυτές και όλες οι προηγούμενες επιθέσεις κατά τα άλλα προήλθαν από παράγοντες απειλών που υποστηρίζονται από τη Ρωσία», λέει η SentinelLabs.