Zdroj: Eset/Zuzana Hromcová
Slovenská antivírusová firma Eset uverejnila výskum o čínskej hackerskej skupine Ke3chang (APT15) a jej backdoore (zadných vrátkach) Okrum. Malvérová analytička firmy Eset Zuzana Hromcová popisuje v tejto správe históriu, postupy a ciele tejto skupiny.
Prvá zmienka o skupine je ešte z roku 2010 od firmy FireEye, ktorá popisuje útoky na diplomatické organizácie a misie v Európe. Eset sledoval chovanie skupiny medzi rokmi 2015 až 2019. Okrem iného zistili nový backdoor ktorému dali meno Okrum. Prvýkrát ho zachytili vďaka telemetrii v decembri roku 2016. Cieľom boli počas roka 2017 diplomatické misie na Slovensku, Belgicku, Čile, Guatemale a v Brazílii.
Záujem skupiny Ke3chang o Slovensko v roku 2017 by mohol súvisieť s investíciami Číny v Európe. V tomto roku mala napríklad čínska firma He Steel záujem kúpiť U.S. Steel Košice. Z tohto obchodu nakoniec nič nebolo. Podľa nášho názoru išlo zrejme o snahu nájsť obchodné informácie, ktoré by pomohli čínskej firme pri vyjednávaní o kúpe.
Skupina je stále aktívna aj v roku 2019, čo dokazujú nové vzorky malvéru z marca. Snahou skupiny bolo sa čo najlepšie skryť. Skupina používala obrázky formátu PNG na ukrytie malvéru. Aktívne sa snažila zistovať či jej malvér nebeží v emulovanom prostredí alebo sandboxe bezpečnostných výskumníkov. Nezodpovedaná bola v správe dôležitá otázka, ako sa malvér dostal na počítače obetí.
Obrázok: Eset/Zuzana Hromcová
