طی این حملات هکرها فایل SangforUD.exe را که کارمندان برای اتصال به سرورهای Sangfor VPN بکار می برند، با یک نسخه مخرب جایگزین کرده اند. این نسخه با نصب یک تروجان بک دور در سیستم کارکنان، امکان دسترسی هکر به فایل های آنها را فراهم می ساخت. به گفته Qihoo هدف از اینکار دستیابی به اطلاعاتی در مورد نحوه کنترل ویروس کرونا در چین بوده است.
به گفته کمپانی سازنده این آسیب پذیری تنها در سرورهای با فرمور M6.3R1 و M6.1 شناسایی شده و پچ های امنیتی آنها امروز ارائه خواهد شد. این شرکت همچنین اسکریپتی را برای شناسای نفوذ هکرها به سرورهای VPN و حذف فایل های نصب شده توسط آنها منتشر خواهد کرد.
از نظر کمپانی چینی گروه هک DarkHotel پشت این حملات قرار دارند که در شبه جزیره کره واقع شده اند اما هنوز مشخص نیست به سئول وابسته اند یا برای پیونگ یانگ کار می کنند. این گروه از سال ۲۰۰۷ فعال بوده و عملیات های دولتی پیچیده ای را طراحی و پیاده سازی می کنند.
به گفته گوگل گروه هک DarkHotel طی سال گذشته ۵ حمله مبتنی بر آسیب پذیری روز صفر صورت داده و از این نظر هیچ هکر دولتی دیگری به پای آنها نمی رسد. در حالی که تنها چند ماه از سال ۲۰۲۰ سپری شده این گروه از طریق آسیب پذیری زیرو دی در فایرفاکس و اینترنت اکسپلورر سازمان های دولتی چین و ژاپن را هدف گرفته اند
منبع: