Темы  /  Строительство e-Gov

Россия и Беларусь стали мишенью китайских хакеров вместо США

chinese

Исследовательская группа Proofpoint пришла к выводу, что интересы китайских «кибер-банд» переориентировались с США на другие страны — такие, как страны Европы, Монголия, Россия и Беларусь. Как правило, они используют конкретные виды вредоносных программ, которыми пользовались ранее при нападении на американские интернет-объекты. 

Патрик Вилер (Patrick Wheeler), директор Proofpoint по связям с общественностью, утверждает:

«Мы всецело доверяем нашей методике отслеживания кибератак из Китая на основе давних наблюдений. Нами документально фиксируется сходство в тактике, методике и процедурах злоумышленников, отслеживается общая инфраструктура командования и управления с другими задокументированными атаками и вредоносными программами, используемых ранее этой группой».

Cогласно исследованию Proofpoint, китайская хакерская группировка, специализирующаяся на кибершпионаже, впервые атаковала военные и аэрокосмические организации в России и Беларуси в июле 2016 года.  Тогда злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.

Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске «неизвестной программы». Если пользователь согласится, на компьютер будет загружен ZeroT.

chine2

Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer («Просмотр событий») для обхода UAC в Windows.

Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.

Proofpoint предполагает, что столь кардинальный разворот китайских хакеров от США к России и странам СНГ произошёл благодаря американо-китайскому соглашению, которое было подписано председателем КНР Си Цзиньпином и тогдашним президентом США Бараком Обамой в сентябре 2015 года.

В середине прошлого года уже отмечалось, что кибератаки Китая в отношении Америки не прекратились, но пошли на спад. Вилер сразу оговаривается, что это всего лишь предположение и прямых доказательств у Proofpoint нет, но по-другому объяснить столь явное «смещение прицела» китайских хакеров с США на Россию и её соседей весьма сложно. Также директор по связям с общественностью Proofpoint затруднился назвать какую точно информацию хотят получить хакеры из КНР, — возможно, они пока просто прощупывают почву, засылая «троянов» и пытаясь получить удалённый доступ к военным и аэрокосмическим целям, который потенциально может быть использован для различной шпионской деятельности.

Подробнее с техническими деталями доклада можно ознакомиться на сайте Proofpoint

Источник:  rublacklist.net

Мнения:

Метки

Книги