Хакерите от OceanLotus са провели масирана шпионска кампания в Югоизточна Азия
Сайтове на държавни учреждения и медии са компрометирани, за да се следят аудиториите им
Хакерската група OceanLotus е организирала масирана шпионска кампания в Югоизточна Азия, показва проучване на ESET. Авторите на атаката са успели да компрометират 21 сайта, включително на две министверства в Камбоджа и на една от най-популярните медии във Виетнам. В хакнатите сайтове те са инсталирали зловреден код, който им е позволил да събират даннни за аудиториите им.
„Става дума за т.нар. watering hole атака, при която се инфектират със зловреден код сайтове с определена аудитория. По този начин може да се таргетират потребители с конкретен демографски профил“. коментират от ESET.
Името watering hole идва от тактиката на някои хищници да чакат в засада жертвите си близо до водоизточници. По същия начин злонамерено лице може да хакне сайта на някоя от регионалните медии, за да може да събере информация за живущите в конкретно населено място.
Един от хакнатите от OceanLotus сайтове е именно страницата на виетнамския вестник Dan Viet, който е 110-ият най-четен в страната според данните на Alexa. Хакнати са още сайтовете на две министерства в Камбоджа, както и сайтове на медии и блогове.
За OceanLotus се знае поне от 2012 г. Според компанията за киберсигурност FireEye членовете на групата са свързани с Виетнам. През 2017 г. OceanLotus беше обявена за автор на шпионска кампания в Югоизточна Азия, използваща същата тактика watering hole. Това, както и редица сходства с атаката през 2017 г., дава основание на експертите от ESET да твърдят, че OceanLotus стои и зад сегашната кампания.
Хакерите са инжектирали в компрометираните сайтове JavaScript код, с който са събирали информация за посетителите. Сред събираните данни са IP адрес, езикови настройки на браузъра, инсталирани браузърни добавки, часова зона и т.н. „Това показва, че OceanLotus не само продължава да е активна, но и постоянно обновява и надгражда инструментите, с които работи. Наблюденията ни показват, че тази атака е по-сложна в сравнение с предишните атаки на групата. Ето защо OceanLotus трябва да се следи отблизо“, коментират от ESET.