Iako zvanična lista ne postoji, VLC media player spada u grupu omiljenih medija plejera, što je verovatno i razlog zbog kojeg je postao omiljeni alat kineskih hakera za sajber napade.
Jedna od hakerskih grupa koje se već neko vreme dovode u vezu sa kineskom vladom – Cicada, počela je da koristi popularni VLC medija plejer za ubacivanje malicioznog softvera u vaše računare. Cicada je grupa koja je poznata i pod drugim imenima: menuPass, Stone Panda, APT10, Potassium i Red Apollo i postoji od 2006. godine.
Vaš računar na dlanu
Maalver koji se kroz VLC plejer ubacuje u računare žrtava praktično otvara vrata hakerima, koji mogu da preuzmu svakakve informacije sa računara: sve o sistemu, aktivnim procesima, podacima koji se nalaze na vašem HDD/SSD-u i slično.
Ovakvi prikriveni napadi nisu ništa novo, ali su bezbednosne kompanije primetile da je korišćenje VLC-a postalo masovno i mnogo računara je zaraženo. VLC napadi su počeli kao špijunske aktivnosti, i pre svega su ciljali državne institucije i povezana lica, te nevladine organizacije i brzo su se raširili na najmanje tri kontinenta.
Neki od napada su sprovedeni na području SAD, Hong Kong-a, Indije, Italije i Kanade. Omiljene mete Cicada grupe su u prošlosti bile u Japanu, a ovoga puta registrovan je samo jedan napad na području Japana.
Od trenutka kada napadač dobije pristup nekom računaru, oni su mogli neprimećeno da koriste resurse i do devet meseci, što je posebno zabrinjavajuće.
DLL side-loading
Iako je sam VLC plejer korišćen za ubacivanje malicioznog softvera, sam fajl je potpuno čist. Naime hakeri koriste čistu verziju VLC instalacije koja se kombinuje sa malicioznim DLL-ovima, što je tehnika koja se zove “DLL side-loading”. Na ovaj način se malver ubacuje zajedno sa programima koji prolaze sve bezbednosne provere.
Ovaj način je Cicada grupa koristila i pre, posebno kada je izvršen napad ne Microsoft Exchange server, a hakeri koriste WinVNC server da dobiju pristup zaraženom računaru sa udaljene lokacije. Hakeri takođe koriste i malver koji se zove Sodamaster, koji se tiho ubaci u sistemsku memoriju, bez korišćenja bilo kojih fajlova, kako bi izbegao detekciju i može da odloži pokretanje pri podizanju sistema, da ne bi upalio alarm u bezbednosnim sistemima.
Iako su ovi hakerski napadi opasni, ne treba da se zabrine svako ko koristi VLC, jer je plejer čist, ali isto tako treba da održavate važe bezbednosne sisteme ažurnim i s vremena na vreme proverite svoj računar na neželjene štetočine.
Informacije o Cicada napadu su došle od kompanije Symantec, koji su prijavili da su ovi napadi počeli polovinom 2021. i da su nastavljeni do februara 2022. godine, ali se ne isključuje mogućnost da su i dalje aktivni.