Check Point Research e il Global Research & Analysis Team di Kaspersky hanno scoperto una serie di cyberattacchi che stanno prendendo di mira gli uighur dello Xinjiang. Gli hacker, spacciandosi per l’ONU e per una falsa fondazione per i diritti umani chiamata “Turkic Culture and Heritage Foundation”, inviano documenti malevoli con l’obiettivo di ingannare personaggi di spicco della minoranza e installando una backdoor al software Windows in esecuzione per avviare attività di spionaggio.
Secondo Lotem Finkelsteen, di Check Point, “questi attacchi informatici che prendono di mira gli uighur sfruttano vistosamente il Consiglio dei Diritti Umani delle Nazioni Unite per indurre le vittime a scaricare malware dannosi. Crediamo che alla base vi siano motivazioni spionistiche ben precise, con l’obiettivo finale di installare una backdoor nei computer delle vittime di alto profilo nella comunità uighur. Gli attacchi sono progettati per rilevare le impronte digitali dei dispositivi infetti, compresi tutti i programmi in esecuzione. Per quanto ne sappiamo questi attacchi sono in corso, e sembra che si stia creando una nuova infrastruttura per attacchi futuri”.
Doppio inganno
I ricercatori di CPR e GReAT hanno identificato due vettori di infezione utilizzati dagli aggressori:
- tramite documenti inviati a obiettivi specifici per email, che cercano di scaricare una backdoor in Windows;
- tramite un falso sito web della fondazione, per convincere i visitatori a scaricare una backdoor .NET camuffata da “security scanner”, prima di inserire le informazioni sensibili necessarie per una donazione.
Durante l’indagine, l’interesse degli analisti è stato catturato da un documento chiamato UyghurApplicationList.docx con il logo del UNHRC, contenente un finto resoconto di un’assemblea generale delle Nazioni Unite sul tema delle violazioni dei diritti umani.
Un’ulteriore analisi del documento Word ha portato i ricercatori alla scoperta del sito web di una falsa fondazione per i diritti umani chiamata TCAHF, che sta per “Turkic Culture and Heritage Foundation”. L’organizzazione finanzierebbe e sosterrebbe gruppi che lavorano per la cultura tur-cica e i diritti umani. La maggior parte del contenuto online è copiato da un altro sito web esistente: la famigerata Open Society di Soros.
La funzionalità dannosa del sito web TCAHF è ben mascherata, e appare solo quando la vittima tenta di fare domanda per una sovvenzione. Il sito poi, con la scusa di assicurarsi che il sistema operativo sia sicuro prima di inserire informazioni sensibili per la transazione, chiede alle vittime di scaricare un programma per scansionare i loro ambienti (due opzioni di download, una per MacOS e l’altra per Windows).
Sebbene non siano stati in grado di trovare similarità di codice o infrastruttura con un gruppo hacker noto, gli analisti attribuiscono questa attività, con fiducia medio-bassa, a un aggressore di lingua cinese. Esaminando le macro malevoli nel documento, i ricercatori hanno notato che alcuni estratti del codice erano identici al codice VBA apparso in diversi forum (guarda un po’…) cinesi, e potrebbero essere stati copiati direttamente da lì.