Persbericht: F-Secure ontdekt verband tussen malware en conflict Zuid-Chinese Zee
Diverse organisaties die betrokken waren bij de recente rechtszaak over de Zuid-Chinese Zee zijn het doelwit geworden van spionagemalware. Dat heeft beveiligingsspecialist F-Secure ontdekt. Het gaat om een Remote Access Trojan, malware die aanvallers in staat stelt om data te stelen van besmette systemen.
Onderzoekers van F-Secure hebben de trojan de naam NanHaiShu gegeven. Onder andere het Filipijnse ministerie van Justitie, de organisatie van de APEC-top die in november van vorig jaar in de Filipijnen werd gehouden en een groot internationaal advocatenkantoor zijn aangevallen met NanHaiShu. Al deze partijen hebben op een of andere manier te maken met het conflict over de Zuid-Chinese Zee.
Het Permanente Hof van Arbitrage in Den Haag oordeelde op 12 juli dat China geen gezag kan uitoefenen op het door de Filipijnen geclaimde deel van deze zee. Meer informatie over NanHaiShu en het gebruik van deze malware in de aanloop naar de uitspraak is te vinden in het nieuwe rapport NanHaiShu: RATing the South China Sea.
Verfijnde phishingmails
NanHaiShu wordt verspreid door middel van verfijnde phishingmails. De e-mails bevatten branchespecifieke vaktermen die relevant zijn voor de organisatie in kwestie. Dit wijst erop dat elke mail speciaal voor een bepaalde organisatie is opgesteld.
In de bijlage van de e-mail zit een kwaadaardige macro die een embedded JScript-bestand uitvoert. Zodra NanHaiShu op een apparaat is geïnstalleerd, verstuurt het informatie van het besmette systeem naar een remote server. De aanvaller kan zo elk bestand downloaden dat hij maar wil.
Uit de technische analyse van de malware blijkt dat de code en infrastructuur doen denken aan de werkwijze van ontwikkelaars in China. De onderzoekers van F-Secure vermoeden daarom dat NanHaiShu van Chinese makelij is, ook vanwege het feit dat de getroffen organisaties informatie bezitten die van nationaal strategisch belang is voor de Chinese overheid.
Cyberspionage door China?
“Deze advanced persistent threat (APT) lijkt nauw verbonden te zijn met het conflict over de Zuid-Chinese Zee en de juridische strijd tussen de Filipijnen en China”, zegt Erka Koivunen, Cyber Security Advisor bij F-Secure. “Niet alleen hebben de getroffen organisaties allemaal iets te maken met deze rechtszaak, ook dook de malware telkens op rond nieuwe ontwikkelingen in de zaak.”
“Als de vermoedens van onze onderzoekers kloppen, zou het kunnen dat de Chinezen cyberspionage in hebben gezet om meer inzicht in het proces te verkrijgen”, aldus Koivunen.
Categorieën