Несколько китайских APT создают крупные плацдармы внутри чувствительной инфраструктуры
Дэн Гудин - 1 августа 2023 г., 12:29 UTC
Хакерские группы, работающие на правительство Китая, намерены проникнуть в самые дальние уголки чувствительной инфраструктуры, большая часть которой принадлежит США, и установить там постоянное присутствие, если это возможно. За последние два года они одержали ряд побед, которые могут серьезно угрожать национальной безопасности.
Если раньше это не было ясно, то три отчета, опубликованные на прошлой неделе, убедительно подтверждают это. В одном из них, опубликованном охранной фирмой «Касперский», исследователи подробно описали набор передовых шпионских инструментов, которые за последние два года использовала одна группа для создания «постоянного канала для кражи данных» внутри промышленной инфраструктуры. Во втором отчете, опубликованном в воскресенье газетой The New York Times, говорится, что другая группа, работающая на китайское правительство, спрятала вредоносное ПО, которое может вызвать сбои глубоко внутри критической инфраструктуры, используемой военными базами США по всему миру. Эти сообщения появились через девять дней после того, как Microsoft обнаружила взлом учетных записей электронной почты, принадлежащих 25 ее облачным клиентам, включая Государственный департамент и Министерство торговли.
Похоже, что операции осуществляются отдельными департаментами китайского правительства и нацелены на разные части инфраструктуры США и Европы. Первая группа, отслеживаемая под названием Zirconium, стремится украсть данные зараженных ею целей. Другая группа, известная как «Вольт Тайфун», по данным «Нью-Йорк Таймс», стремится получить долгосрочную возможность вызывать сбои на базах США, возможно, для использования в случае вооруженного конфликта. В обоих случаях группы стремятся создать постоянные плацдармы, где они смогут тайно обосноваться.
В отчете, опубликованном Касперским две недели назад (часть 1) и в понедельник (часть 2), подробно описаны 15 имплантатов, которые наделяют Цирконий целым спектром расширенных возможностей. Возможности имплантатов варьируются от первого этапа (постоянный удаленный доступ к взломанным машинам) до второго этапа, который собирает данные с этих машин (и любых устройств с воздушным зазором, к которым они подключаются) и до третьего этапа, используемого для загрузки украденных данных на контролируемый Цирконием компьютер. командные серверы.
Zirconium — хакерская группа, работающая на Китайскую Народную Республику. Подразделение традиционно нацелено на широкий круг промышленных и информационных организаций, в том числе правительственных, финансовых, аэрокосмических и оборонных организаций, а также предприятий в сфере технологий, строительства, машиностроения, телекоммуникаций, средств массовой информации и страхования. Цирконий, который также отслеживается под названиями APt31 и Judgment Panda, является примером APT (расширенной постоянной угрозы), подразделения, которое занимается взломом от имени или в рамках национального государства.
В отчете Касперского показано, что примерно в то же время, что и крупномасштабная атака на маршрутизатор, Zirconium была занята еще одним крупным предприятием, которое включало использование 15 имплантатов для поиска конфиденциальной информации, скрытой глубоко внутри целевых сетей. Вредоносное ПО обычно устанавливается в ходе так называемого перехвата DLL. Атаки такого типа позволяют внедрить вредоносный код в файлы DLL, которые заставляют работать различные процессы Windows. Вредоносная программа заметала свои следы, используя алгоритм RC4 для шифрования данных непосредственно перед внедрением.
По словам Касперского, компонент-червь вредоносного ПО может заражать съемные диски, которые при подключении к изолированному устройству находят хранящиеся там конфиденциальные данные и копируют их. При повторном подключении к компьютеру, подключенному к Интернету, зараженное дисковое устройство записывает его туда.
«На протяжении всего расследования исследователи «Лаборатории Касперского» наблюдали преднамеренные попытки злоумышленников уклониться от обнаружения и анализа», — написал Касперский. «Они добились этого, спрятав полезную нагрузку в зашифрованном виде в отдельных файлах двоичных данных и внедрив вредоносный код в память легитимных приложений посредством перехвата DLL и цепочки инъекций памяти».