Kitajska napada podpornike Tibeta?

Matej Kovačič

28. mar 2008 ob 10:03:27

Kot poročajo na spletni strani protivirusnega podjetja F-Secure, so nekateri aktivisti za podporo Tibetu in novinarske agencije, ki pokrivajo najnovejše represivne akcije kitajskih oblasti proti Tibetu v zadnjih dneh od neznancev prejeli elektronska sporočila v katerih naj bi bile fotografije pobitih tibetanskih protestnikov oziroma druga gradiva, ki naj bi pričala o nasilju kitajske države v Tibetu.

V priloženi PDF datoteki, ki jo je neznanec domnevno iz Danske, poslal tiskovni agenciji Asia Free Press pa ni bilo fotografij, pač pa izjava o solidarnosti s tibetanskim ljudstvom. Poleg izjave pa je bil v PDF datoteki skrit še virus, ki izkorišča varnostno ranljivost v PDF dokumentih (tim. PDF-Encode ranljivost). Po odprtju dokumenta s PDF pregledovalnikom Adobe Acrobat se je na računalnik naložil in zagnal program za prestrezanje tipkanja (tim. keylogger) Winkey (shranil se je na mesto: C:\Program Files\Update\winkey.exe).

Program, ki je bil dodatno modificiran, da bi ga protivirusni programi ne zaznali (gre za tim. metamorfni virus), prestrežene podatke pa je pošiljal na strežnik xsz.8800.org. Gre za znan kitajski DNS posredovalnik (ang. DNS bouncer), ki je bil že večkrat uporabljen v različnih napadih.

Na spletni strani F-Security poročajo da to žal ni osamljen primer, saj so bila podobna sporočila sistematično razposlana številnim posameznikom in skupinam, ki podpirajo Tibet, objavljena pa so bila tudi na številnih poštnih seznamih in spletnih forumih. Sporočila so skrbno oblikovana in sestavljena ter prirejena tako, kot da izvirajo od zaupanja vrednih posameznikov in organizacij, vsebujejo pa datotečne priloge s končnicami pdf, doc, xls, ppt, exe in chm.

Vsekakor gre za precej nenavadno akcijo, za katero pa žal lahko domnevamo da za njo verjetno stoji kitajska vlada.