Kinesiska cyberspioner använder malaysiska flygplanet för attacker
Datorer användes för att känna av folks kroppstemperatur på en flygplats under fågelinfluensan i östra Kina, i december 2013. Spioner med kopplingar till några av Kinas största cyberspionage kampanjer använder det försvunna malaysiska flygplanet MH370 för att infektera regeringars och tankesmedjors datorer. (Foto: Lam Yik / Getty Images)


Spioner med kopplingar till några av Kinas största cyberspionagekampanjer använder det försvunna malaysiska flygplanet MH370 för att sprida virus i regeringars och tankesmedjors datorer.

Två av attackerna upptäcktes av forskare vid säkerhetsföretaget FireEye, som inte vid pressläggning hade svarat på en förfrågan om en intervju.

FireEye upptäckte att angriparna använde en modifierad version av hackerverktyget Poison Ivy, som är vanligt förekommande i kinesiska regimsponsrade attacker. De spårade också attackerna till en grupp som kallas ”Admin@338”, som tidigare har varit inblandade i kinesiska spionagekampanjer.

Cyberspionerna använde det malaysiska flygplanet för att få tillgång till datorn. De skickade e-post till specifika mål med en virusinfekterad fil, till synes om det malaysiska flygplanet. Om offret öppnade filen skulle den infektera datorn med deras spionageverktyg.

Efter att de fått tillgång till datorn har de möjlighet att bevaka offrets dator, stjäla filer eller till och med se offret genom en webbkamera.

Cyberspionagegruppen började sina attacker den 10 mars – två dagar efter att det malaysiska flygplanet hade försvunnit – och riktade sig mot en okänd utländsk regering i stillahavsområdet, enligt en FireEye-analys av kampanjen.

Individerna skickade e-post till målet med en bifogad fil med namnet ”Malaysian Airlines MH370.doc”. Om offret öppnade filen skulle cyberspionerna få tillgång till datorn.

Deras nästa mål var enligt FireEye ”en framstående USA-baserad tankesmedja”, och hackerverktyget var maskerat som en Flash-video.

I oktober 2013 var Admin@338 inblandad i cyberspionagekampanjer som riktades mot en amerikansk tankesmedja, till ett icke namngivet lands centralbank i västeuropa, en ostasiatisk topptjänsteman och flera andra mål med koppling till handel och finanspolitik.

FireEye uppmärksammade att spionagekampanjen 2013 ”uppenbarligen var fokuserad på att samla in data relaterad till internationell handel, finans och ekonomisk politik”.

Attackerna som upptäcktes av FireEye är inte de enda kinesiska attackerna som använder det malaysiska flygplanet.

Säkerhetsföretaget Kaspersky hittade liknade infekterade filer maskerade som information om det försvunna flygplanet, som spårades till grupper bakom några av Kinas största spionagekampanjer.

De kinesiska grupperna har varit inblandade i operationer för att spionera på diplomater, militära leverantörer och regeringsorgan i 40 länder, enligt Kasperskys blogg ThreatPost. Attacken kallades ”NetTraveler”.

Andra attacker som grupperna kopplas till inkluderar Titan Rain, vilket var en omfattande serie av koordinerade attacker mot USA:s regering, och GhostNet, en internationell spionkampanj som riktade in sig på flera grupper, inklusive den tibetanska exilregeringen och Dalai Lamas privata kontor.

Samtidigt som cyberattackernas natur gör det svårt att definitivt peka ut något specifikt land, är de här senaste attackerna inte deförsta i sitt slag där kinesiska myndigheter försöker använda det malaysiska flygplanet MH370 för att främja sina egna intressen.

När Kina skickade två krigsfartyg för att hjälpa till med eftersökning föreslog amiral Yin Zhuo i kinesiska flottan att Kina ska bygga hamnar på de omtvistade Spratleyöarna, ifall Kina behöver hjälpa till med eftersök i framtiden.

Han använde också eftersökningen för att kräva ett flygfält på de omstridda Spratley-öarna.

Översatt från engelska.