Хабрахабр

Китайские хакеры стоят за многочисленными взломами международных компаний

Компании, к взлому которых причастны китайцы, расположены в Европе, США, России и многих других странах. На днях специалисты по информационной безопасности из компании ProtectWise заявили, что китайская киберразведка стоит за многими взломами самых разных компаний за последние десять лет. Действия хакеров из Поднебесной так и бы и оставались незамеченными, если бы не недавняя масштабная атака, проводившаяся с целью компрометации корпоративных аккаунтов в Office 365 и Gmail.

Взломщики оставили после себя массу следов, по которым стало возможным выявить их действия в прошлом. Эта атака была совершена с рядом ошибок. С подробным отчетом можно ознакомиться по этой ссылке, документ был опубликован в конце прошлой недели.
Организация, которая стоит за всем этим, получила название Winnti Umbrella. Как оказалось, многие успешные атаки на корпоративные сети, которые считались делом рук таких сообществ, как LEAD, BARIUM, Wicked Panda, GREF, PassCV, Axiom и Winnti, на самом деле — работа китайцев. Специалисты из ProtectWise, используя данные о взломанных сетях, тактике хакеров, используемые ими техники и методы, а также информацию, полученную благодаря ошибочным действиям злоумышленников смогли определить местоположение большинства членов сообщества.

Наиболее ранние атаки датированы 2007 годом. Кроме того, удалось узнать, с какого времени китайцы ведут свою работу. Тогда этот бэкдор поразил сети более чем 30 компаний — разработчиков игр. В 2013 году антивирусная компания «Лаборатория Касперского» сообщила, о том, что бэкдор того времени Winnti был сконфигурирован на ПК с китайским и корейским языками. Хакеры использовали неавторизованный доступ для получения цифровых сертификатов, которые позже служили инструментом проникновения в сети жертв злоумышленников.

В свою очередь, ключ использовался для инфицирования минимум трех клиентов этой компании. В том же 2013 году компания Symantec заявила о хакерской группе Hidden Linx, которая стояла за атакой на сети более 100 организаций, включая успешный взлом сетей Bit9 с похищением криптографического ключа.

Например, в 2010 году эта же группа, по всей видимости, осуществила успешную атаку на Google и 34 других компаний. Были и другие интересные истории, связанные с Winnti Umbrella.

В целом, стратегия китайцев заключалась во взломе провайдеров криптографических ключей или цифровых сертификатов для того, чтобы использовать скомпрометированные инструменты для взлома более «крупной рыбы». Расследование и составленный по его мотивам отчет, по словам специалистов по кибербезопасности, послужит источником информации для ряда лиц и компаний о работе китайской киберразведки.

На раннем этапе своей работы группа устанавливала на устройствах компании-жертвы кастомные бэкдоры, разработанные индивидуально. Часто использовался фишинг. Чуть позже злоумышленники стали работать с более обширным кругом инструментов, включая эксплоиты, фишинговые ресурсы, бэкдоры и т.п.

Основная цель разведки — вовсе не игровые компании и даже не телекоммуникационные гиганты, а политики разных стран, журналисты из Тибета и Китая, представители правительства Таиланда и многие другие организации и частные лица.

Этот бэкдор был похож на Winnti, он получил название PlugX. В августе прошлого года «Лаборатория Касперского» обнаружила в сетевом инструменте компании NetSarang из Южной Кореи внедренный неизвестными бэкдор, дававший злоумышленникам возможность проникать в сети клиентов NetSarang.

Программное обеспечение NetSarang использовалось сотнями банков, энергетическими компаниями, фармацевтическими концернами и другими организациями.

29 кликов были сделаны в Японии, 15 — США, 2 — в Индии, 1 — в России. Что касается недавней атаки, то ProtectWise заявила о том, что с 20 по 28 марта злоумышленники из Китая воспользовались сервисом goo.gl, благодаря чему стало возможным отследить, кто кликает по ссылкам, оставляемым злоумышленниками. 30 кликов было сделано в среде ОС Windows, 26 — пользователями macOS. Пользователи Chrome кликнули по ссылкам 33 раза, 23 раза перешли по вредоносному url пользователи Safari.

216. Обычно злоумышленники скрывали свои реальные IP-адреса, но несколько раз забыли это сделать, в результате чего у специалистов по инфобезу получилось выйти на реальные IP из диапазона 221. 0/13. 0. По мнению тех, кто проводил изучение деятельности группы, все это — признак принадлежности взломщиков к китайской киберразведке. Как оказалось, этот пакет адресов соответствует China Unicom Beijing Network в провинции Сичэн.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть