Хакери з китайської групи TAG-112 зламали сайти новинного порталу Tibet Post і Гюдмедського тантричного університету. Cobalt Strike, який зазвичай застосовується фахівцями з кібербезпеки для тестування захисту – став популярним і серед зловмисників для здійснення атак. Після злому сайтів хакери пропонували відвідувачам завантажити “сертифікат безпеки”, який насправді містив шкідливий код.
Схожий спосіб дій використовувала інша хакерська група Evasive Panda, яка має зв’язки з китайським урядом і націлена на тибетську громаду. Хоча діяльність TAG-112 і Evasive Panda схожа, експерти вважають, що це дві різні групи. TAG-112 менш складна в технічному плані, проте активно працює з Cobalt Strike, тоді як Evasive Panda використовує більш специфічне шкідливе ПЗ.
Зламані веб-сайти побудовані на платформі Joomla і, якщо їх не оновлювати і не захищати належним чином, стають першочерговою мішенню для кіберзлочинців. Уразливості в системі дозволили зловмисникам впровадити шкідливий код і використовувати сайт для атак на відвідувачів.
Це не перший випадок, коли китайські хакери обирають своєю мішенню тибетську громаду, а китайська влада вважає тибетську громаду загрозою для внутрішньої стабільності. Китайський уряд вважає тибетські правозахисні та культурні групи у вигнанні небезпечними для власної політики і намагається зібрати якомога більше інформації про їхню діяльність.
Хакерські групи, як-от TAG-112 та Evasive Panda, ймовірно, продовжать атаки на організації, пов’язані з тибетською спільнотою, етнічними і релігійними групами, а також на правозахисні організації, які виступають проти політики китайського уряду.