Поделиться
Хакерская группировка орудует в 155 странах мира. Не затронуты Китай, Куба и Скандинавия
Кибершпионы «отметились» в правительственных сетях большинства стран мира. Основной их целью был, судя по всему, сбор информации «по горячим следам».
Сложнее найти незатронутых
Некая азиатская кибершпионская формация взломала системы 37 правительственных учреждений и проводила разведдеятельность в 155 странах мира. Учитывая, что всего в мире - 205 государств (часть из которых обладает оспариваемым суверенитетом), лишь очень небольшое количество стран не стали объектами шпионажа со стороны этой группировки.
Судя по карте, которую составили эксперты компании Palo Alto Networks, атаки не затронули Китай, скандинавские страны и Гренландию, Кубу, а также ряд других государств на разных континентах.
«Исходя из масштабов наблюдаемой деятельности мы считаем, что это одна из самых обширных и значимых атак с целью компрометации глобальной правительственной инфраструктуры со стороны спонсируемой национальным государством группировки - со времён атаки на SolarWinds», - отметил Пит Ринлс (Pete Renals), директор подразделения по национальной безопасности в Palo Alto Networks/Unit 42.
По его словам, эксперты Unit 42 отследили взломы как минимум 70 учреждений в 37 странах, причём в инфраструктуре некоторых из них хакеры могли хозяйничать на протяжении нескольких месяцев.
В одном случае речь шла о доступе ко всем данным местного законодательного органа и высокопоставленного избранного госслужащего.
Кроме того, жертвами группы стали национальные телеком-операторы, правоохранительные органы и контртеррористические подразделения, а также многочисленные министерства внутренних дел, внешних отношений, финансов, торговли, эконпомики, иммиграции, природных ресурсов, юстиции и энергетики.
Кампания попала в поле зрение исследователей Unit 42 в ходе расследования серии фишинговых атак на ряд европейских правительств в начале 2025 года. В результате им удалось выявить инфраструктуру, датированную январём 2024 года.
Характерные для азиатского региона инструменты, языковые настройки, связи с другой региональной операционной инфраструктурой и временные отметки свидетельствуют, что операторы кампании физически располагаются в Азии.
Более того, минимум один раз архивный файл в фишинговом сообщении сохранил прежние метаданные, из которых следовало, что его исходное название было Diaoyu, - этим словом в китайском языке обозначается рыбалка, а в контексте кибербезопасности - фишинг.
Вредонос в архиве запускал серию действий, в результате которых в систему жертвы устанавливался компонент Cobalt Strike, популярного и у легитимных экспертов по кибербезопасности, и у хакеров инструмент для тестирования на уязвимости и проникновение в инфраструктуру.
Уровень универальности
Кроме него хакеры использовали обширный арсенал других инструментов, наборов для эксплуатации уязвимостей, а также демонстрационных эксплойтов к уязвимостям в программных продуктах, используемых в разных регионах мира.
Особого пристрастия к какому-либо ПО или оборудованию хакеры не проявляли и успешно адаптировались к любой атакуемой среде.
«Это свидетельствует об очень высокой степени подготовки и технической образованности атакующей стороны, - считает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Предпочитаемые наборы ПО и оборудования разнятся от региона до региона, не говоря уже о языковых различиях. И тем не менее, для операторов кампании региональные особенности не стали помехой. Такие универсалы нечасто встречаются в коммерческих структурах».
Как отмечает Ринлс, ряд атак примерно совпали по времени с различными значимыми событиями.
Например, во время правительственного шатдауна в США хакеры отчётливо переключились на сканирование организаций в Северной, Центральной и Южной Америках - в Бразилии, Канаде, Мексике, Панаме и т.д.
В Боливии атаке подверглись сети горнодобывающей компании, занятой добычей редкоземельных минералов, - для Боливии это была одна из ключевых тем в ходе недавних выборов.
В Бразилии было взломано министерство по природным ресурсам и энергетике; Бразилия является вторым по значимости поставщиком редкоземельных ископаемых в мире.
Сразу после операции по похищению и вывозу в США президента Мадуро указанная хакерская группа начала интенсивную разведку в правительственных сетях Венесуэлы.
Атаки также были замечены в Германии, Чехии, Греции, на Кипре и в странах, входящих в акваторию Южно-Китайского Моря, в том числе, Вьетнаме и Тайване.
По словам Ринлса, эксперты Unit 42 недавно смогли вытеснить хакеров из определённой части атакованных ими сетей, относящихся к правительственным агентствам. Исследователи хотели пронаблюдать, как атакующие отреагируют на это и какими способами попытаются вернуться.
Короткая ссылка
