В конце прошлой недели немецкие издания Bayerischer Rundfunk и Taggesschau сообщили, что автогиганты BMW и Hyundai подверглись атакам со стороны вьетнамской хак-группы Ocean Lotus, также известной как APT32.
Утверждается, что взлом BWM произошел еще весной текущего года, и злоумышленники установили на зараженные хосты инструментарий для пентестеров Cobalt Strike, которым в последние годы все чаще пользуются не только ИБ-эксперты, но и преступники. В итоге Cobalt Strike был использован в качестве бэкдора для взломанной сети.
Более того, по данным СМИ, специалисты BMW обнаружили атаку, но позволили хакерам продолжать действовать в своей сети, наблюдая за каждым их шагом. Доступ злоумышленникам закрыли лишь недавно, в конце ноября.
Также сообщается, что похожей компрометации подверглась и компания Hyundai, однако никаких подробностей об этом инциденте пока неизвестно, и обе компании отказываются комментировать вышеупомянутые публикации.
Считается, что за этими атаками стоит группировка Ocean Lotus, также известная как APT32. Эта хак-группа атакует преимущественно иностранные компании, инвестирующие в развитие производства на территории Вьетнама. Основные сферы интереса хакеров — ритейл, консалтинг и гостиничный сектор. По мнению ИБ-специалистов, APT32 активна с 2014 года, действует в интересах правительства Вьетнама, и атаки могут выполняться для сбора информации правоохранительными органам. Более того, ранее эту группировку связывали с атаками на компанию Toyota.
Многие ИБ-эксперты считают, что вьетнамские власти действуют по примеру китайских «коллег», и используют хакерские группы для экономического шпионажа в отношении иностранных компаний, кражи интеллектуальной собственности, а затем украденные данные используются в проектах финансируемых государством корпораций.