Китайские хакеры атаковали телекоммуникационную и газовую компании в Центральной Азии - «Новости»

Эксперты компаний Avast и ESET проанализировали малварь, которую использовала неизвестная китайская APT-группировка, шпионившая за неназванными телекоммуникационной и газовой компаниями, а также правительственным учреждением в Центральной Азии. Аналитики ESET дали этой кампании название Mikroceen.

В своих операциях хак-группа использовала бэкдоры, чтобы получить постоянный доступ к корпоративным сетям своих жертв. Основываясь на полученных данных, исследователи предполагают, что ранее эта же группа была причастна к другим атакам в Монголии, России и Беларуси, и активна как минимум 2017 года.

Данную теорию эксперты подкрепляют тем, что хакеры, во-первых, использовали троян Gh0st RAT, который давно и часто применяется китайскими APT-группами. Во-вторых, аналитики обнаружили явные сходства в коде использованных хакерами вредоносов.

Изученные бэкдоры позволяли хакерам управлять файлами жертв (удалять, читать, перемещать, проверять наличие), делать снимки экрана, вмешиваться в работу процессов и сервисов, а также выполнять консольные команды и скрывать признаки своего присутствия в системе. По команде малварь могла передавать данные компании-жертвы на свой управляющий сервер, а зараженные устройства могли играть роль прокси-сервера или прослушивать определенный порт на каждом сетевом интерфейсе.

Специалисты уже сообщили о своих выводах CERT и попытались связаться с пострадавшей телекоммуникационной компанией, однако пока ответов от пострадавших организаций получить не удалось. Учитывая, что группировка по-прежнему активна, а изученные инциденты удалось связать с атаками на другие цели, исследователи полагают, что мы еще услышим об этой хак-группе, и она продолжат атаковать цели и в других странах.