هکرهای وابسته به دولت های خارجی با اجرای حملاتی گسترده سازمان های دولتی چین در داخل و خارج از این کشور را هدف گرفته اند. این حملات از ماه گذشته کلید خورده و گمان می رود با شیوع ویروس کرونا در ارتباط باشد.
کمپانی امنیتی چینی Qihoo 360 که این حملات سایبری را شناسایی کرده، مدعی است هکرها از یک آسیب پذیری روز صفر در سرورهای Sangfor SSL VPN بهره برده اند که در ایجاد دسترسی از راه دور به شبکه های سازمانی و حکومتی کاربرد دارد.
Qihoo تا کنون بیش از 200 سرور VPN هک شده در این کمپین را شناسایی کرده که 174 دستگاه از آنها در شبکه های دولتی در پکن، شانگهای و همچنین نهادهای دیپلماتیک چین در ایران، ایتالیا، بریتانیا، پاکستان، قرقیزستان، اندونزی، تایلند، امارات، تاجیکستان، کره شمالی، اسراییل، ترکیه، مالزی، اتیوپی، افغانستان، هند، عربستان بکار می روند.
طی این حملات هکرها فایل SangforUD.exe را که کارمندان برای اتصال به سرورهای Sangfor VPN بکار می برند، با یک نسخه مخرب جایگزین کرده اند. این نسخه با نصب یک تروجان بک دور در سیستم کارکنان، امکان دسترسی هکر به فایل های آنها را فراهم می ساخت. به گفته Qihoo هدف از اینکار دستیابی به اطلاعاتی در مورد نحوه کنترل ویروس کرونا در چین بوده است.
به گفته کمپانی سازنده این آسیب پذیری تنها در سرورهای با فرمور M6.3R1 و M6.1 شناسایی شده و پچ های امنیتی آنها امروز ارائه خواهد شد. این شرکت همچنین اسکریپتی را برای شناسای نفوذ هکرها به سرورهای VPN و حذف فایل های نصب شده توسط آنها منتشر خواهد کرد.
از نظر کمپانی چینی گروه هک DarkHotel پشت این حملات قرار دارند که در شبه جزیره کره واقع شده اند اما هنوز مشخص نیست به سئول وابسته اند یا برای پیونگ یانگ کار می کنند. این گروه از سال 2007 فعال بوده و عملیات های دولتی پیچیده ای را طراحی و پیاده سازی می کنند.
به گفته گوگل گروه هک DarkHotel طی سال گذشته 5 حمله مبتنی بر آسیب پذیری روز صفر صورت داده و از این نظر هیچ هکر دولتی دیگری به پای آنها نمی رسد. در حالی که تنها چند ماه از سال 2020 سپری شده این گروه از طریق آسیب پذیری زیرو دی در فایرفاکس و اینترنت اکسپلورر سازمان های دولتی چین و ژاپن را هدف گرفته اند.