Kinesisk spionprogramvara upptäckt i europeiska rederiers system

Att rikta in sig på kommersiell sjöfart är en avvikelse från Mustang Pandas vanliga mönster men kan vara i linje med en bredare trend. Den amerikanska regeringen har upprepade gånger varnat för att kinesiska hotaktörer försöker infiltrera och etablera en närvaro inom cyberinfrastrukturen i väst, möjligen i syfte att orsaka skada eller skapa hävstång i händelse av en framtida konflikt. Foto: Creative Commons Lic - Pixabay, kredit:The Digital Artist.

Slovakiska ESET har identifierat kinesiska hackningsintrång i systemen för flera europeiska fraktbolag. Det är en del av en serie fynd som visar hur kinaanknutna hotgrupper infiltrerar västerländsk ekonomisk infrastruktur.

ESET har upptäckt laddningsprogram för en typ av skadlig programvara kallad Korplug i systemen hos flera fraktbolag i Norge, Grekland och Nederländerna.

Intrång

Vissa av dessa intrång tycks ha skett direkt ombord på fraktfartygen, inte bara i kontorssystemen som används av personalen på land. I vissa fall tycks skadlig programvara ha överförts via USB-minnen, en välkänd och ofta diskuterad säkerhetsrisk inom sjöfarten.

Programvaran använde ogiltiga koder för programvaruauktorisering, och kopierade legitima signaturer från välrenommerade författare, inklusive ett framstående amerikanskt cybersäkerhetsföretag.

Kinesisk hotgrupp bakom attackerna

Den skadliga programvaran Korplug används uteslutande av den kinesiska hotgruppen Mustang Panda, som även är känd under namnen TA416, RedDelta och PKPLUG. De prover som ESET identifierat har tidigare använts i hackningskampanjer, vilket tyder på att Mustang Panda återanvänder sin programvara, något som gör dess operationer lättare att identifiera.

Mustang Panda uppmärksammades först år 2017 och kan ha varit verksam redan innan, enligt konsultföretaget Mitre. Gruppen har historiskt sett riktat in sig på icke-statliga organisationer, religiösa grupper, regeringar och icke-statliga organisationer. Deras vanliga mål inkluderar aktörer i USA, Europa, Mongoliet, Myanmar, Pakistan och Vietnam.

Bland de mer framträdande målen finns Vietnams kommunistparti, Shan State Army i Myanmar och en kulturrelaterad NGO baserad i Tyskland känd som China Center. Gruppen är känd för sina sofistikerade phishingattacker som använder aktuella och målrelaterade ämnen för att locka till sig offren. Tidigare aktiviteter inkluderar olaglig datautvinning, ihållande intrång och övervakning, exfiltrering av användaruppgifter samt avancerade tekniker för att undvika analys och upptäckt.

Nya mål inom sjöfarten

Amerikanska myndigheter har uttryckt oro över potentiella sårbarheter i kranar byggda av kinesiska statsföretag, vilka dominerar den globala marknaden. American Association of Port Authorities har kallat mediabevakningen av kranars sårbarheter för "alarmistisk" och "sensationslysten", samtidigt som de efterlyser en lagstiftningsinsats för att återställa USA:s kapacitet för inhemsk tillverkning av kranar.

Källor: ESET/Shipping News/ alphaliner/publications