Einsatz des Remote-Access-Trojaners deckt sich zeitlich mit dem jüngsten territorialen Rechtsstreit Philippinen gegen China
F-Secure: Zusammenhang zwischen Malware-Bedrohung und Cyber-Angriffen wegen Territorialstreit im Südchinesischem Meer wahrscheinlich
Die Experten von F-Secure Labs haben nach eigenen Angaben einen Malware-Stamm entdeckt, der offensichtlich beteiligte Parteien eines Territorialstreits im Südchinesischen Meer zwischen den Philippinen und China ins Visier nimmt. Der Territorialstreit wurde kürzlich von einem Schiedsgericht entschieden, das Chinas Ansprüche abgewiesen hat. Die Malware, die von den F-Secure-Forschern den Namen NanHaiShu bekommen hat, ist ein Remote-Access-Trojaner, der es Angreifern ermöglicht, von infizierten Rechnern Daten zu exfiltrieren. Die Malware und ihre Verwendung - in diesem Fall bis zum 12. Juli - sind Thema in dem neuen F-Secure Report mit dem Titel NanHaiShu: RATing the South China Sea.
Zu den Zielen des Malware-Angriffs, die der Bericht identifiziert, gehören das Justizministerium der Philippinen, das in dem Fall engagiert ist, die Organisatoren des APEC-Gipfels (Asia-Pacific Economic Cooperation), der auf den Philippinen im November 2015 stattfand und einer großen internationalen Anwaltskanzlei.
NanHaiShu verbreitet sich mittels sorgfältig gestalteter Spear-Phishing-E-Mails, die spezifische, für jedes der Ziele relevante Informationen enthalten. Dies deutet darauf hin, dass die E-Mails gezielt für diese Adressaten erstellt sind. Die in der E-Mail angehängte Datei enthält ein bösartiges Makro, das eine eingebettete JScript-Datei ausführt. Einmal installiert, sendet NanHaiShu Informationen aus dem infizierten Computer zu einem Remote-Server. Die Angreifer sind zudem in der Lage, eine beliebige Datei herunterzuladen.
Die technische Analyse enthüllte, dass die Malware auf Code und Infrastruktur in Zusammenhang mit Entwicklern auf dem chinesischen Festland zurückgreift. Die thematisch relevante, gezielte Auswahl der Organisationen deutet auf strategisches nationales Interesse der chinesischen Regierung. Deswegen gehen die F-Secure-Forscher davon aus, dass die Malware chinesischen Ursprungs sein dürfte.
"Wenn der Verdacht unserer Forscher richtig ist, könnte es sein, dass China gezielt Cyber-Spionage eingesetzt hat, um einen besseren Einblick in das Gerichtsverfahren zu gewinnen", erklärte Koivunen.
Weitere Details finden sich im vollständigen Bericht NanHaiShu: RATing the South China Sea.
Lesen Sie mehr zum Thema
