Kineski hakeri napali Direktorat civilnog vazduhoplovstva Srbije? Američka kompanija objavila izveštaj sa detaljima napada

Prema nalazima istraživača, napadi su počeli krajem septembra, kada su zaposlenima u srpskoj vladinoj kancelariji poslati fišing mejlovi. Daljom analizom otkrivena je slična zlonamerna aktivnost u Mađarskoj, Belgiji, Italiji i Holandiji.

Na sajtu StrikeReady nije naveden tačan naziv srpske vladine kancelarije, ali se navodi da se ona bavi nadgledanjem avijacije pa je zaključak da se misli na Direktorat civilnog vazduhoplovstva Republike Srbije.

Korisnici koji su kliknuli na linkove u tim mejlovima preusmeravani su na lažne Cloudflare stranice za verifikaciju – trik koji hakeri često koriste da bi njihove sajtove učinili da izgledaju legitimno pre nego što ubace zlonamerni softver.

Lažni dokumenti sa evropskom tematikom

Mamci korišćeni u kampanji bili su dokumenta koja su izgledala kao zvanični fajlovi evropskih institucija, uključujući plan studija Nacionalne akademije za javnu upravu Srbije, dnevni red sastanka Evropske komisije, i pozivnicu za samit Evropske političke zajednice.

StrikeReady navodi da su hakeri koristili malver porodice Sogu, PlugX i Korplug — alate koji su gotovo isključivo povezani sa kineskim državnim hakerskim grupama. Iako napad još nije pripisan konkretnoj grupi, istraživači smatraju da je deo kineskih špijunskih operacija.

"Nova" je upitala Direktorat civilnog vazduhoplovstva Republike Srbije za komentar ovih navoda, ali nismo još dobili odgovor.

Poznati obrasci kineske sajber-špijunaže

Kako je navela kompanija StrikeReady u izveštaju, u ovom navodnom napadu su korišćeni slični alati i taktike viđeni i u drugim operacijama povezanima sa Kinom.
U avgustu su istraživači kompanije Google otkrili špijunsku kampanju grupe UNC6384, koja je ciljala diplomate u jugoistočnoj Aziji, koristeći Sogu za krađu podataka i daljinsko izvršavanje komandi. Hakeri su, takođe, koristili PlugX putem lažnih dokumenata koji su izgledali kao dnevni red sastanaka Saveta EU.

Ranije ove godine, američke vlasti su uklonile PlugX sa hiljada zaraženih računara u SAD, optužujući hakersku grupu Mustang Panda da je krala podatke u ime Pekinga.

Istraživači su saopštili da su akteri povezani sa Kinom prošle godine koristili PlugX i za špijunažu nad evropskim zdravstvenim organizacijama, a infekcije ovim malverom su tokom 2024. zabeležene u više od 170 zemalja.

Za sada nije jasno koje informacije su napadači uspeli da pristupe u navodnom napadu na srpsku avijacijsku agenciju, niti da li su ostvarili svoj glavni cilj, navodi StrikeReady.