Специалисты компании FireEye обнаружили масштабную хакерскую кампанию, направленную против гонконгских СМИ. По данным экспертов, за атакой стоит известная группировка китайских хакеров, чьи методы работы весьма интересны.
Специалисты FireEye считают, что за атаками на медиакомпании стоит APT-группа (Advanced Persistent Threat — «развитая устойчивая угроза») названная admin@338. Данная группа впервые попала на радары ИБ-экспертов в 2008 году. С тех пор целями хакеров становились финансовые организации, телекомы, правительственные учреждения и даже предприятия оборонного сектора.
В августе 2013 года FireEye сообщала, что admin@338 используют RAT Poison Ivy в ходе своих операций. В марте 2014 года группа воспользовалась исчезновением рейса MH370 авиакомпании Malaysia Airlines, чтобы реализовать атаки на правительственные учреждения Азиатско-тихоокеанского региона, а также американские НИИ.
Теперь admin@338 были замечены в проведении узконаправленной атаки на гонконгские газеты, радиостанции и телеканалы. Атака датирована августом 2015 года. Согласно отчету FireEye, хакерская кампания началась с рассылки жертвам писем, в которых содержались документы, эксплуатирующие ряд багов в Microsoft Office. В частности, CVE-2012-0158. Если атака удавалась, на компьютер жертвы устанавливался вредонос LOWBALL.
Бэкдор LOWBALL – инструмент разведывательный. Он использует для связи с командным сервером API облачного сервиса Dropbox. Малварь собирает данные о скомпрометированном устройстве и сети, в которой устройство находится. Собранная информация передается на Dropbox-аккаунт хакеров, а затем используется для осуществления последующих атак, если цель действительно представляет интерес.
Dropbox хакеров содержал также и следующий элемент атаки: еще один бэкдор под названием BUBBLEWRAP. Группа admin@338 уже применяла этот вредонос в прошлом. BUBBLEWRAP – полноценный инструмент для сбора данных в режиме реального времени. Для этого бэкдора даже существует ряд плагинов, позволяющих расширить его возможности.
Использование Dropbox – разумный ход со стороны хакеров. Эта тактика позволяет им скрыть коммуникации с C&C сервером за ширмой непримечательного, легитимного трафика, не вызывая ни у кого лишних подозрений. Такая схема потихоньку становится новым трендом у киберпреступников.
Отдельно исследователи указывают на тот факт, что атаки на гонконгские СМИ, поддерживающие продемократическое движение, совсем не редкость для китайских ATP-групп. Так, августовская атака была нацелена на организации, которые владели информацией, представлявшей потенциальный интерес для правительства Поднебесной.
«Проникнув в сети медиакомпаний, хакерские группы могут поставлять правительству информацию о грядущих акциях протеста, о лидерах продемократических групп и сведения, необходимые для пресечения определенной активность в интернете. Так, в середине 2014 года ряд сайтов подвергся мощной DDoS-атаке, и ресурсы ушли в оффлайн», — поясняют специалисты FireEye.
В ходе расследование атаки, направленной против гонконгских СМИ, эксперты FireEye обнаружили и еще одну хакерскую кампанию admin@338, информации о которой пока мало. В блоге сообщается, что другая операция хакеров была направлена против как минимум 50 целей. Имена пострадавших компаний пока не раскрываются, но FireEye обещает продолжить расследование (совместное с компанией Dropbox) и сбор улик.
Фото: Mashable