Kinesiska hackare använder Dropbox
Skärmdump från sajten Dropbox. Kinesiska hackare har använt tjänsten för att skicka virus till utvalda offer. (Skärmdump från dropbox.com)


Virus från kinesiska hackare, som har maskerats som officiella dokument har cirkulerat via Dropbox, den populära molntjänsten som bland annat låter användare dela filer med varandra. Den här nya metoden beskrevs i en cybersäkerhetsrapport som publicerades förra veckan.

Hackare har blivit allt mer kreativa i sina metoder nu när det finns säkerhetsteam som jobbar för att rensa bort dem. De här attackerna kommer från den kinesiska hackargruppen DNS Cals, som använder liknande metoder som gruppen Comment Crew, som låg bakom attacken mot New York Times förra året, enligt det amerikanska säkerhetsföretaget Cyber Squared, med basen i Arlington, Virginia.

Det första steget i deras plan var att de kinesiska hackarna skaffade dropboxkonton, där man laddade upp skadlig mjukvara, och sedan skickade man en inbjudan i form av en länk i ett mail till sina mål.

Tack vare den här tekniken har hackarna kunnat upprätthålla anonymitet, locka in offer med hjälp av Dropbox trovärdighet som varumärke, och undvika traditionella antivirusmetoder.

Hackarnas beslut att gömma viruset i ett policydokument från ASEAN, Association of South East Asian Nations, antyder att målen var ”individer eller representanter för regionala medlemsnationer” i ASEAN, som är en geopolitisk och ekonomisk organisation, enligt Cyber Squareds rapport.

Inbäddad i worddokumentet fanns vad som verkade vara en PDF, men som i själva verket var en falsk ikon, som kopierade sig själv till hårddisken hos den som råkade öppna den.

Samtidigt, för att inte skapa misstänksamhet, laddades även en PDF ner med titeln ”US-ASEAN Business Council Internal Draft”. Om den är äkta måste den ha stulits från de tjänstemän som varit involverade i den, vilket är ett exempel på hur ”sofistikerade hot ofta utnyttjar stulen information”, enligt rapporten.

Den kopierade falska PDF-ikonen på hårddisken kontaktade en wordpressblogg som verkade vara en uppsats om geopolitik, vilket återigen antyder att hackarna var ute efter ASEAN-representanter. I verkligheten hade den dock dold kod som kontaktade en annan IP-adress.

Detta kopplade samman datorn med en annan värd som gav ytterligare direktiv, och vid den punkten avbröt Cyber Squared attacken för att deras datorer inte skulle skadas ytterligare.

Mot dessa påhittiga attacker är gamla nätverks- och värdbaserade säkerhetslösningar inte tillräckliga. Att upptäcka hot från hackare kräver nu att användare förstår vilka metoder och medel hackarna använder, enligt rapporten.

Hackare experimenterar med nya plattformar för att sprida skadlig programvara, men man har kunnat observera ett mönster med liknande metoder.

I april använde Comment Crew falska PDF-ikoner med en lockbetes-PDF med geopolitisk information, vilket denna gång var en plan för ett evenemang som hölls av U.S. National Defense Industrial Association, en frivilligorganisation med band till den amerikanska staten och militären.

I mars använde Comment Crew falska webbsidor som liknande viktiga sydkoreanska regerings- och utbildningssajter, i vad analytiker misstänker var ett försök att få information om sydkoreanska operationer under en känslig tid som kulminerade i Nordkoreas krigsförklaring mot Sydkorea.

Översatt från engelska.