Forskare från Check Point Research och Kaspersky har identifierat cyberattacker riktade specifikt mot minoritetsgruppen uigurer i Xinjiang, Kina, och i Pakistan.
Attackerna använder två olika tillvägagångssätt.
Det ena är via epost som ser ut att komma från en FN-organisation och den andra använder en webbplats som utger sig för att vara en människorättsorganisation kallad TCAHF (Turkic Culture and Heritage Foundation), där det är möjligt att söka bidrag. Båda metoderna lurar offren att ladda ner och installera skadlig kod som öppnar en bakdörr till deras system. Bakdörren kan användas för att spionera och gör det också möjligt att samla in i princip vilken information som helst från offrens datorer samt att installera ytterligare skadlig kod.
-Det vi ser här är cyberattacker riktade specifikt mot uigurer, säger Lotem Finkelsteen, Head of Threat Intelligence hos Check Point. Attackerna använder information och teman från FN:s råd för mänskliga rättigheter för att lura offren att ladda ner skadlig kod. Vi tror att målet med cyberattackerna är spionage och att få nyckelpersoner inom den uiguriska gruppen att installera bakdörren. Från vad vi har kunnat se pågår attackerna för fullt och ny infrastruktur har skapats för, vad som ser ut att vara, fler attacker framöver.
Den skadliga funktionen på TCAHF:s webbplats är väl dold och visas bara när en besökare försöker ansöka om bidrag. Webbplatsen kräver då att besökarens operativsystem ska vara säkert och uppmanar besökaren att ladda ner programvara för att säkerhetsscanna systemet innan besökaren kan registrera sin ansökan. Webbplatsen erbjuder två nedladdningsalternativ, ett för MacOS och ett för Windows.
Forskarna bedömer att kampanjerna är avsedda för den uiguriska minoriteten eller organisationer som stöttar dem. Ett antal offer har identifierats i Pakistan och Kina. I samtliga fall befann sig offren i regioner som till största delen befolkas av uigurer.
Forskarna har inte kunnat identifiera kod eller andra likheter i attackerna som gör att de med säkerhet kan knytas till någon känd cyberkriminell grupp. De bedömer dock att det finns spår som visar att attacken kan vara initierad av en kinesisktalande grupp, eftersom några av de makron som används i attackerna är identiska med VBA-kod som förekommit i flera kinesiska forum och kan ha kopierats därifrån.
