Kiinalainen hakkeriryhmä kohdistaa haittaohjelmansa nyt Linux-käyttöjärjestelmiin

Tietoturvayhtiö Palo Alto Networksin turvallisuusyksikkö Unit 42:n julkaiseman tiedon mukaan kiinalainen hakkeriryhmä Alloy Taurus hyödyntää PingPull-haittaohjelman uutta versiota hyökkäyksissään.

PingPull-haittaohjelman ensimmäiset näytteet löytyvät syyskuulta 2021. Tuolloin löydetty haittaohjelma on sittemmin yhdistetty etenkin Alloy Taurus -nimen saaneeseen kiinalaiseen hakkeriryhmään. Ryhmä on identifioitu myös muilla nimillä, kuten Gallium ja Softcell. Ryhmän toiminnasta on jälkiä jo vuodesta 2012 alkaen.

Ryhmä on tullut erityisen tunnetuksi kybervakoilutoimista, jonka kohteena ovat olleet telekommunikaation parissa toimivat yritykset Aasiassa, Euroopassa ja Afrikassa. Viime vuosina Alloy Taurus on laajentanut toimiaan myös rahoituslaitoksiin ja hallinnollisiin toimijoihin. Merkittävää on, että kiinalaistahot ovat lisänneet kyberhyökkäyksiään Venäjän hyökättyä Ukrainaan.

PingPull-haittaohjelman uusi Linux-versio on onnistunut tehokkaasti välttämään suojausohjelmien havainnointitoimet. Esimerkiksi VirusTotalin tietojen mukaan 62 eri virustorjuntaohjelmasta yksikään ei kyennyt tunnistamaan PingPullia haittaohjelmaksi. PingPullin käyttämää C2-infrastruktuuria on havaittu myös Sword2033-haittaohjelman näytteissä. Unit 42:n tietojen mukaan Alloy Taurus -ryhmittymän toiminnasta on ollut viime aikoina merkkejä muun muassa Etelä-Afrikassa ja Nepalissa.