Китайские хакеры пять лет вели слежку за правительственными организациями

Исследователи Check Point раскрыли деятельность китайской группы APT, которая в течение пяти лет занималась кибершпионажем за правительствами стран Азиатско-Тихоокеанского региона (АТР). Первые упоминания о случаях политической разведки появились в 2015 году. Тогда группа хакеров, именуемая Naikon, совершила ряд атак на правительственные учреждения и связанные с ними организации в странах Южно-Китайского моря. С 2015 года и до сегодняшнего дня не было никаких сообщений о деятельности группировки.

Тем не менее команда Check Point смогла разоблачить деятельность Naikon, подтвердив, что группа не только была активна в течение последних пяти лет, но и усилено вела свою деятельность в период с 2019 года и по первый квартал 2020 года. Мошенники получали доступ к данным определенного правительственного органа и использовали данную информацию для совершения атак на другие государственные органы. А благодаря доверительным дипломатическим отношениям между ведомствами и правительственными организациями повышались шансы на успех таких операций.

При расследовании инцидента исследователями Check Point был разобран пример фишингого письма с зараженным файлом, которое было отправлено Австралийскому правительственному учреждению от лица посольства одной из стран АТР. Файл содержал эксплойт, который при открытии проникал в компьютер пользователя и загружал вредоносную программу-бэкдор ― Aria-body. Данная программа позволяла мошенникам осуществлять доступ к зараженному компьютеру или сети с внешних веб-серверов, минуя меры безопасности.

Дальнейшее расследование выявило и другие схожие цепочки атак, используемые для доставки бэкдора Aria-body. Все атаки Naikon включали три основные шага.

Naikon совершал атаки на страны одного и того же географического региона — АТР— включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Мошенники нацеливались на министерства иностранных дел, науки и техники, а также на государственные компании. Предположительный мотив злоумышленников —геополитическая разведка.

«Naikon предпринял попытку атаки на одного из наших заказчиков, выдавая себя за иностранное правительство. Наше внутреннее исследование показало, что Naikon — это высоко мотивированная и сложная китайская APT-группа. Мошенниками движет желание собрать максимальное количество разведданных. Этим они и занимаются последние пять лет, развивая свои навыки и внедряя новое кибероружие с бэкдором Aria-body. — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Чтобы запутать след и избежать обнаружения, хакеры использовали для атак эксплойты других АРТ-групп и серверы своих жертв в качестве центров команд и контроля».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!