Hakeri iskoristili zero-day propust u Windowsima za špijuniranje europskih diplomata
Hakerska grupa povezana s Kinom, koristeći još neispravljenu ranjivost u Windowsima, napala je diplomate u nekoliko europskih zemalja s ciljem krađe osjetljivih podataka
Tvrtka za kibernetičku sigurnost Arctic Wolf Labs izvijestila je o svojem novom otkriću, koje bi moglo zabrinuti političare diljem EU. Naime, izvješće kaže da je hakerska skupina, navodno povezana s Kinom, iskoristila dosad neispravljenu sigurnosnu ranjivost (zero-day) u operacijskom sustavu Windows kako bi pokrenula kibernetičke napade na europske diplomate i vladine institucije.
Mete od Belgije do Srbije
Kampanja kibernetičke špijunaže bila je aktivna tijekom rujna i listopada ove godine, a ciljala je diplomatska predstavništva u Mađarskoj, Belgiji, Italiji i Nizozemskoj te vladine agencije u Srbiji. Prema sigurnosnim istraživačima, kampanja se pripisuje grupi poznatoj kao UNC6384 i Mustang Panda, za koju se sumnja da djeluje uz podršku službene Kine.
Napadi su bili usmjereni na prikupljanje osjetljivih podataka i praćenje diplomatskih komunikacija. Grupa je od ranije poznata po sličnim operacijama usmjerenim na diplomate u jugoistočnoj Aziji, a ovim aktivnostima proširila je svoje djelovanje i na Europu.
Metoda napada i ciljevi
Napad u ovom slučaju započinje slanjem strogo ciljanih (spear phishing) e-mailova koji sadrže zlonamjerne datoteke s ekstenzijom .LNK. Kako bi zavarali mete, napadači koriste teme relevantne za diplomatske krugove, poput radionica o nabavi za obranu u sklopu NATO-a, sastanaka Europske komisije o olakšavanju graničnih procedura i sličnih aktualnih diplomatskih događanja. Otvaranjem privitka aktivira se nezakrpana ranjivost u Windowsima, sada poznata pod oznakom CVE-2025-9491.
Nakon uspješne aktivacije, na zaraženo računalo instalira se zlonamjerni softver PlugX, koji napadačima omogućava daljinski pristup i kontrolu nad sustavom. Time dobivaju mogućnost praćenja komunikacije, krađe osjetljivih datoteka i instaliranja dodatnog štetnog softvera. Iako je sigurnosni propust prijavljen Microsoftu još u ožujku, do trenutka napada oni ga još nisu ispravili.
Administratorima se savjetuje da, do dolaska zakrpe za navedeni propust, blokiraju otvaranje .LNK datoteka na računalima koja žele zaštititi od ove vrste napada. Među potvrđenim metama (za sada) nema hrvatskih dužnosnika ili institucija.
