Исследователи в области кибератак связывают это с возможным соглашением между США и Китаем, которое и толкает кибершпионов из Поднебесной переключиться на страны СНГ.
Исследовательская группа Proofpoint пришла к выводу, что интересы китайских «кибер-банд» переориентировались с США на другие страны — такие, как страны Европы, Монголия, Россия и Беларусь. Как правило, они используют конкретные виды вредоносных программ, которыми пользовались ранее при нападении на американские интернет-объекты.
Патрик Вилер (Patrick Wheeler), директор Proofpoint по связям с общественностью, утверждает:
«Мы всецело доверяем нашей методике отслеживания кибератак из Китая на основе давних наблюдений. Нами документально фиксируется сходство в тактике, методике и процедурах злоумышленников, отслеживается общая инфраструкрура командования и управления с другими задокументированными атаками и вредоносными программами, используемых ранее этой группой».
.
Сейчас, согласно исследованиям Proofpoint, проведёнными в июле 2016 года, китайская хакерская группировка, специализирующаяся на кибершпионаже, атакует военные и аэрокосмические организации в России и Беларуси. Тогда в целой череде атак злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.
Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске «неизвестной программы». Если пользователь согласится, на компьютер будет загружен ZeroT.
Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer («Просмотр событий») для обхода UAC в Windows.
Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.
Proofpoint предполагает, что столь кардинальный разворот китайских хакеров от США к России и странам СНГ произошёл благодаря американо-китайскому соглашению, которое было подписано председателем КНР Си Цзиньпином и тогдашним президентом США Бараком Обамой в сентябре 2015 года. В середине прошлого года уже отмечалось, что кибератаки Китая в отношении Америки не прекратились, но пошли на спад. Вилер сразу оговаривается, что это всего лишь предположение и прямых доказательств у Proofpoint нет, но по-другому объяснить столь явное «смещение прицела» китайских хакеров с США на Россию и её соседей весьма сложно. Также директор по связям с общественностью Proofpoint затруднился назвать какую точно информацию хотят получить хакеры из КНР, — возможно, они пока просто прощупывают почву, засылая «троянов» и пытаясь получить удалённый доступ к военным и аэрокосмическим целям, который потенциально может быть использован для различной шпионской деятельности.
P.S. При этом власти России продолжают отдаляться от Запада (по крайней мере, в риторике) и сближаться с Китаем.
Читайте также:
В России кибератаки в 18 раз менее эффективны, чем в мире
?
Кремль защитит Рунет от «угрозы с Запада»
?
Американские разведчики не могут назвать подозреваемого в хакерских атаках на выборах
?
С кибероружием пора бороться на национальном уровне, — ICANN
?
Россия и США обменялись обвинениями в кибершпионаже
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.