Исследователи из Citizen Lab Университета Торонто выявили кампанию кибершпионажа, направленную против высокопоставленных членов Всемирного конгресса уйгуров, международной организации для уйгуров в изгнании. Злоумышленники замаскировали вредоносное ПО для слежки на базе Windows под законный текстовый редактор на уйгурском языке, продемонстрировав индивидуальный подход к компрометации конкретных лидеров сообщества. Почему это важно:
- Продолжается целенаправленная слежка за общинами преследуемых меньшинств.
- Демонстрирует сложную социальную инженерию, использующую культурные инструменты, важные для сообщества.
- Демонстрирует постоянные усилия по мониторингу деятельности диаспорских организаций уйгуров в изгнании.
В марте высокопоставленные члены международной организации, представляющей интересы находящихся в изгнании представителей уйгурского этнического меньшинства Китая, подверглись атаке фишинговой кампании, целью которой была установка вредоносного ПО для Windows, позволяющего осуществлять удаленное наблюдение за ними.
По данным Citizen Lab, исследовательского института при Университете Торонто, специализирующегося на цифровых репрессиях и криминалистике, кампания, которая началась в мае прошлого года или, возможно, даже раньше, включала файл, имитирующий подлинный инструмент для обработки текста и проверки орфографии с открытым исходным кодом на уйгурском языке.
Вредоносное ПО не было сложным, но механизм доставки был очень адаптирован к целям, заявили исследователи. Изгнанники узнали о кампании после получения уведомлений об угрозах от Google и обратились в Citizen Lab для исследования атак.
В ходе расследования Citizen Lab были обнаружены электронные письма со ссылками на Google Drive, при нажатии на которые устанавливался защищенный паролем архив RAR, говорится в сообщении в блоге. Затем вредоносная программа передавала информацию на удаленный сервер, где она могла загружать «дополнительные вредоносные плагины», говорится в сообщении в блоге.