De Chinese hackers die vorig jaar bij tientallen bedrijven in de chemische sector wisten in te breken, hebben nu hun pijlen op Tibetaanse activistische organisaties gericht. Dat beweert Jaime Blasco van AlienVault Labs. De aanvallen tegen onder andere de Central Tibet Administration en International Campaign for Tibet hebben net als de Nitro-aanvallen als doel het stelen van gevoelige informatie. Daarnaast zouden de aanvallers de activiteiten en supporters van deze organisaties kunnen volgen.

De aanvallen beginnen met een eenvoudige spear-phishing campagne waarbij een besmet Office bestand wordt gebruikt om de computer te infecteren. De exploit die in het document verstopt zit misbruikt een bekend beveiligingslek uit 2010 wat niet door de systeembeheerders bij de betreffende organisaties is gepatcht.

China
Eenmaal geopend wordt een variant van de Gh0st RAT (remote access Trojan) geïnstalleerd. Dezelfde tool die ook bij de Nitro-aanvallen van vorig jaar werd ingezet. De gebruikte variant zou echter het bewijs zijn dat zowel de aanvallen op de chemische bedrijven als de Tibetaans organisaties van dezelfde groep Chinese hackers afkomstig zijn, aldus Blasco. Daarnaast maakt de malware verbinding met jericho.3322.org via het 'ByShe' protocol, dat ook bij de Nitro-aanvallen werd waargenomen.

Mensenrechten
Hij merkt op dat Tibetaanse organisaties al jaren het doelwit van gerichte aanvallen zijn, voornamelijk vanuit China. "Deze aanvallen hebben mogelijk een direct gevolg op het misbruik van mensenrechten in deze regio's", merkt de analist op. De malware in kwestie is voorzien van een digitaal certificaat, waardoor het een "extra laag van authenticiteit" krijgt.

De verschillende malware-exemplaren die de aanvallers gebruiken werden in één geval door geen enkele virusscanner gedetecteerd. In het beste geval sloegen drie anti-virusprogramma's alarm.