По данным нового доклада, за последние годы по меньшей мере восемь правительственных и военных объектов в Южно-Китайском море были скомпрометированы группой, предположительно поддерживающей интересы Китая.
По данным исследователей Bitdefender, в течение почти пяти лет хакеры взломали и неоднократно восстанавливали доступ к системам, используемым правительствами. отчет не сообщается, в каких странах были взломаны системы или были ли они уже осведомлены об инцидентах до того, как Bitdefender их расследовал.
Эта деятельность была связана с ранее неизвестным злоумышленником, которого они назвали Unfading Sea Haze, но отметили, что «цели и характер атак предполагают соответствие интересам Китая». По их словам, основной целью кампании является шпионаж.
Южно-Китайское море – это зона горячих споров где Китай посягнул на территориальные претензии Вьетнама, Филиппин, Малайзии, Индонезии и Тайваня.
Хотя выбор хакерами целей, связанных со спорной территорией, указывает на Пекин, есть и другие элементы, предполагающие связь с Китаем, а именно использование различных вариантов Gh0st RAT — инструмента популярен среди китайских актеров и обильно использовался в шпионские кампании хакерами правительства Пекина.
Bitdefender заявила, что изо всех сил пытается понять, как хакеры изначально получили доступ к некоторым системам, поскольку многие атаки начались как минимум пять лет назад, но они подтвердили по крайней мере один метод: целевой фишинг электронных писем.
К этим электронным письмам, некоторые из которых были отправлены совсем недавно, в мае 2023 года, были прикреплены вредоносные документы, которые устанавливали бэкдор в системы жертв, позволяя хакерам вернуться, когда они захотят. Оказавшись внутри, группа использовала несколько инструментов для расширения своего доступа к сети и часто захватывала учетные записи администраторов, чтобы предоставить им дополнительный доступ.
Хакеры также использовали несколько других типов вредоносного ПО, чтобы избежать обнаружения и собрать данные браузера, такие как пароли.
«Прокси» армия
Исследование Bitdefender дополняет растущий объем знаний об обширной, почти десятилетней хакерской кампании Китая, направленной на цели в Юго-Восточной Азии и Тихоокеанском регионе.
Еще один отчет опубликовано в среду Компания Mandiant, принадлежащая Google, занимающаяся кибербезопасностью, подчеркнула, что Китай использует украденные и арендованные прокси-серверы, такие как маршрутизаторы для домашних офисов, по всему миру.
По мнению исследователей Mandiant, эти сети являются ключевым компонентом работы Вольт Тайфун – китайская хакерская кампания, нацеленная на критически важную инфраструктуру, используемую военными США.
Исследование Mandiant показало, что использование взломанных систем, таких как маршрутизаторы для небольших офисов и домашних офисов, расположенных рядом с потенциальной жертвой, «привносит новый аспект в эту проблему, поскольку владельцы этого оборудования могут стать невольными помощниками в серьезной шпионской деятельности».
Исследователи заявили, что это было частью гораздо более масштабных усилий китайских субъектов по увеличению своей армии прокси, известных как «сети ORB» — что означает оперативные ретрансляционные сети — для шпионских операций.
Сети ORB, по их словам, сродни ботнетам и состоят из виртуальных частных серверов (VPS), а также взломанных устройств Интернета вещей (IoT), интеллектуальных устройств и маршрутизаторов, срок службы которых часто истек или не поддерживается их производители.
Майкл Рэгги, главный аналитик Mandiant и автор отчета, заявил в своем заявлении, что сети ORB являются «одной из главных инноваций в китайском кибершпионаже, которая бросает вызов защитникам».
«Они похожи на лабиринт, который постоянно меняет конфигурацию: вход и выход исчезают из лабиринта каждые 60–90 дней. Чтобы нацелиться на кого-то, эти субъекты могут прийти с домашнего маршрутизатора прямо на улице. Нет ничего необычного в том, что домашний маршрутизатор совершенно ничего не подозревающего человека оказывается вовлеченным в шпионаж», — сказал он.
Главный аналитик Mandiant Джон Халтквист добавил, что китайский кибершпионаж «когда-то был шумным и легко отслеживаемым».
«Это новый тип противника», — сказал он.
Получите больше информации с помощью
Записанное будущее
Интеллектуальное облако.
Узнать больше.
2024-05-22 21:09:10
1716420346
#Китайские #хакеры #взломали #военные #правительственные #структуры #районе #ЮжноКитайского #моря #говорится #докладе