Россия и Беларусь стали мишенью китайских хакеров вместо США

Исследователи в области кибератак связывают это с возможным соглашением между США и Китаем, которое и толкает кибершпионов из Поднебесной переключиться на страны СНГ.

Исследовательская группа Proofpoint пришла к выводу, что интересы китайских «кибер-банд» переориентировались с США на другие страны — такие, как страны Европы, Монголия, Россия и Беларусь. Как правило, они используют конкретные виды вредоносных программ, которыми пользовались ранее при нападении на американские интернет-объекты. 

Патрик Вилер (Patrick Wheeler), директор Proofpoint по связям с общественностью, утверждает:

«Мы всецело доверяем нашей методике отслеживания кибератак из Китая на основе давних наблюдений. Нами документально фиксируется сходство в тактике, методике и процедурах злоумышленников, отслеживается общая инфраструкрура командования и управления с другими задокументированными атаками и вредоносными программами, используемых ранее этой группой».

.

Сейчас, согласно исследованиям Proofpoint, проведёнными в июле 2016 года, китайская хакерская группировка, специализирующаяся на кибершпионаже, атакует военные и аэрокосмические организации в России и Беларуси. Тогда в целой череде атак злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.

Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске «неизвестной программы». Если пользователь согласится, на компьютер будет загружен ZeroT.

Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer («Просмотр событий») для обхода UAC в Windows.

Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.

Proofpoint предполагает, что столь кардинальный разворот китайских хакеров от США к России и странам СНГ произошёл благодаря американо-китайскому соглашению, которое было подписано председателем КНР Си Цзиньпином и тогдашним президентом США Бараком Обамой в сентябре 2015 года. В середине прошлого года уже отмечалось, что кибератаки Китая в отношении Америки не прекратились, но пошли на спад. Вилер сразу оговаривается, что это всего лишь предположение и прямых доказательств у Proofpoint нет, но по-другому объяснить столь явное «смещение прицела» китайских хакеров с США на Россию и её соседей весьма сложно. Также директор по связям с общественностью Proofpoint затруднился назвать какую точно информацию хотят получить хакеры из КНР, — возможно, они пока просто прощупывают почву, засылая «троянов» и пытаясь получить удалённый доступ к военным и аэрокосмическим целям, который потенциально может быть использован для различной шпионской деятельности.

P.S. При этом власти России продолжают отдаляться от Запада (по крайней мере, в риторике) и сближаться с Китаем.

Читайте также:

В России кибератаки в 18 раз менее эффективны, чем в мире
?
Кремль защитит Рунет от «угрозы с Запада»
?
Американские разведчики не могут назвать подозреваемого в хакерских атаках на выборах
?
С кибероружием пора бороться на национальном уровне, — ICANN
?
Россия и США обменялись обвинениями в кибершпионаже

.