По словам исследователей, хакерская группа, связанная с правительством Китая, которая, как считалось, бездействовала, в течение последних двух лет тихо нацеливаясь на компании и правительственные учреждения, собирая данные после кражи паролей и обходя двухфакторную аутентификацию, предназначенную для предотвращения таких атак.
Fox-IT, охранная компания, базирующаяся в Нидерландах, заявила в отчете, опубликованном в четверг, что атаки группы распространились на 10 стран, включая США, Великобританию, Францию, Германию и Италию.
По словам представителей компании, китайские хакеры провели глобальную шпионскую кампанию, нацеленную на такие отрасли, как авиация, строительство, финансы, здравоохранение, страхование, азартные игры и энергетика.
Хакеры, вероятно, принадлежат к группе, известной как APT20, по словам исследователей, которые заявили, что они «имеют очень высокий уровень уверенности, что хакеры являются китайской группой и что они, вероятно, работают, чтобы поддержать интересы китайского правительства».
В период с 2009 по 2014 год APT20, группа также известная как Viola Panda и th3bug, была связана с хакерскими кампаниями, нацеленными на университеты, военные, медицинские и телекоммуникационные компании. По словам Fox-IT, группа несколько лет молчала, но недавно возродилась.
Цифровой след
«Многие думали, что эта группа исчезла или больше не существует», - сказал Фрэнк Гроеневеген, главный эксперт по безопасности в Fox-IT. «Но мы обнаружили, что эта группа снова работает на международном уровне и взламывает множество компаний».
По словам Гроеневегена, Fox-IT обнаружил хакерский след группы летом 2018 года во время анализа компьютерных систем, которые были взломаны. С момента первого события исследователи Fox-IT смогли проследить цифровой след, который помог им раскрыть десятки подобных атак, которые, похоже, были совершены одной и той же группой. По данным Fox-IT, атаки также проводились в Бразилии, Мексике, Португалии и Испании.
По словам Гроеневегена, в Китае также была, по крайней мере, одна цель - полупроводниковая компания, которая отказалась назвать компании и организации, которые подверглись нападению. Fox-IT работает с некоторыми из них, чтобы очистить свои системы, сказал он, и уведомил остальных.
Хакеры обычно получают доступ к системам организации, используя уязвимость на веб-серверах, которыми управляет компания или государственное учреждение. Согласно отчету Fox-IT, они затем проникли бы дальше, чтобы идентифицировать людей - обычно системных администраторов - с привилегированным доступом к наиболее чувствительным частям компьютерной сети.
Свободный Рейн
Хакеры размещают программное обеспечение кейлоггер на компьютерах системных администраторов, которое записывает нажатия клавиш и может раскрыть пароли. По словам Fox-IT, группа также смогла, по крайней мере, в одном случае скомпрометировать систему двухфакторной аутентификации RSA SecurID, реплицировав ее коды, предназначенные для защиты от хакеров путем обеспечения дополнительного уровня безопасности в дополнение к паролю.
По словам Fox-IT, хакеры эффективно скрывали свои следы. Они будут регулярно удалять инструменты, которые они использовали для кражи данных с зараженных компьютеров. Но иногда они ускользали. Fox-IT разместила технологию мониторинга в сети одной компании-жертвы и смогла собрать данные, показывающие, что хакеры использовали веб-браузер, язык которого был установлен на китайский.
С помощью правоохранительных органов Fox-IT отследила действия хакеров до веб-сервера, который группа приобрела в качестве отправной точки для своих атак. Хакеры заплатили биткойнами и дали фальшивые данные, британский номер телефона и американский адрес в Лафайетте, Луизиана. Но они заполнили часть адреса на упрощенном китайском.
Сопровождаемые экспертами по безопасности Fox-IT всю ночь, хакеры стали активными около 3 часов ночи в Нидерландах и продолжали в течение 8-10 часов. Это говорит о том, что они работали в часовом поясе Китая, который на семь часов опережает Нидерланды.
Возможно, самое яркое свидетельство появилось после того, как хакеры узнали, что их поймали. Fox-IT предприняла усилия, чтобы отключить хакеров от скомпрометированной сети, и наблюдала, как группа вводит серию команд, чтобы попытаться восстановить доступ к компьютерам.
Когда стало ясно, что они были отключены, один из хакеров, явно расстроенный, набрал слово «wocao» на своей клавиатуре. По словам Fox-IT, это китайский сленг для непристойности.
Подготовлено порталом Allinsurance.kz