Китайские хакеры провели масштабную кибератаку по всему миру
Хакерская группа, связанная с правительством Китая, которая, как считалось, бездействовала, в течение последних двух лет тихо нацеливалась на компании и правительственные учреждения, собирая данные после кражи паролей и обходя двухфакторную аутентификацию, предназначенную для предотвращения таких атак.
Fox-IT, компания по вопросам безопасности, базирующаяся в Нидерландах, заявила в отчете, опубликованном в четверг, 19 декабря, что атаки группы распространились на 10 стран, включая США, Великобританию, Францию, Германию и Италию, сообщает издание Bloomberg.
По словам представителей компании, китайские хакеры провели глобальную шпионскую кампанию, нацеленную на такие отрасли, как авиация, строительство, финансы, здравоохранение, страхование, азартные игры и энергетика.
Хакеры принадлежат к группе, известной как APT20. Исследователи заявляют, что они полностью уверены - это китайская группа и "они работают в интересах китайского правительства".
В период с 2009 по 2014 год APT20, также известная как Viola Panda и th3bug, была связана с хакерскими кампаниями, нацеленными на университеты, военные, медицинские и телекоммуникационные компании. По словам Fox-IT, группа несколько лет молчала, но недавно возродилась.
Цифровой след
"Многие думали, что эта группа исчезла или больше не существует", - сказал Фрэнк Гроеневеген, главный эксперт по безопасности в Fox-IT. "Но мы обнаружили, что эта группа снова работает на международном уровне и взламывает множество компаний".
По словам Гроеневегена, Fox-IT обнаружила хакерскую активность группы летом 2018 года во время анализа компьютерных систем, которые были взломаны. С самого первого открытия исследователи Fox-IT смогли отследить цифровой след, который помог им раскрыть десятки подобных атак, которые, похоже, были совершены одной и той же группой. По данным Fox-IT, атаки также проводились в Бразилии, Мексике, Португалии и Испании.
Хакеры обычно получают доступ к системам организации, используя уязвимость на веб-серверах, которыми управляет компания или государственное учреждение. Затем они проникают дальше, чтобы идентифицировать людей, обычно системных администраторов с привилегированным доступом к наиболее чувствительным частям компьютерной сети, сообщают представители компании.
По словам специалистов Fox-IT, хакеры эффективно скрывали свои следы. Fox-IT разместила технологию мониторинга в сети одной жертвы и смогла собрать данные, показывающие, что хакеры использовали веб-браузер, язык которого был установлен на китайский.
С помощью этих данных специалисты отследили действия хакеров до веб-сервера, который группа приобрела в качестве отправной точки для своих атак. Хакеры заплатили биткойнами и дали фальшивые данные, британский номер телефона и американский адрес в Лафайетте, Луизиана. Но они набрали часть адреса на китайском.
Также указывается временной фактор. Хакеры обычно были активными около 3 часов ночи в Нидерландах и продолжали работать от восьми до 10 часов. Это говорит о том, что они работали в часовом поясе Китая, который на семь часов опережает Нидерланды.
Когда стало ясно, что группа раскрыта, один из хакеров, явно расстроенный, написал слово "wocao" на своей клавиатуре, что по словам специалистов Fox-IT, является ругательством на китайском.
