Китайские хакеры пять лет активно шпионили за правительствами стран АТР

Исследователи Check Point раскрыли деятельность китайской группы APT, которая в течение пяти лет занималась кибершпионажем за правительствами стран Азиатско-Тихоокеанского региона (АТР). Первые упоминания о случаях политической разведки появились в 2015 г. Тогда группа хакеров, именуемая Naikon, совершила ряд атак на правительственные учреждения и связанные с ними организации в странах Южно-Китайского моря. С 2015 г. и до последнего времени не было никаких сообщений о деятельности группировки.

Тем не менее, команда Check Point смогла разоблачить деятельность Naikon, подтвердив, что группа не только была активна в течение последних пяти лет, но и усилено вела свою деятельность в период с 2019 г. и по первый квартал 2020 г. Мошенники получали доступ к данным определенного правительственного органа и использовали данную информацию для совершения атак на другие государственные органы. А благодаря доверительным дипломатическим отношениям между ведомствами и правительственными организациями повышались шансы на успех таких операций.

При расследовании инцидента специалистами Check Point был разобран пример фишингого письма с зараженным файлом, которое было отправлено австралийскому правительственному учреждению от лица посольства одной из стран АТР. Файл содержал эксплойт, который при открытии проникал в компьютер пользователя и загружал вредоносную программу-бэкдор - Aria-body. Данная программа позволяла мошенникам осуществлять доступ к зараженному компьютеру или сети с внешних веб-серверов, минуя меры безопасности.

Дальнейшее расследование выявило и другие схожие цепочки атак, используемые для доставки бэкдора Aria-body. Все атаки Naikon включали три основные шага.

1. Фальсифицированный официальный правительственный документ. Мошенники создавали электронное письмо с документом, который содержал важную информацию для потенциальной жертвы, и отправляли его. Данная информация могла быть взята как из открытых источников, так и из конфиденциальных источников скомпрометированной ранее системы.

2. Заражение документов вредоносным ПО для дальнейшего проникновения в необходимые злоумышленникам системы. Хакеры заражали документы из писем вредоносной программой-загрузчиком, которая автоматически устанавливала бэкдор Aria-body. Благодаря этому злоумышленники получали доступ к сетям жертвы.

3. Использование серверов скомпрометированной организации для дальнейших атак. Чтобы избежать обнаружения хакеры Naikon использовали инфраструктуры и серверы своих жертв для распространения новых атак на другие государственные организации. Это помогало им избежать обнаружения. В одном из расследуемых инцидентов исследователи обнаружили, что сервер, используемый для атак, принадлежал министерству науки и техники Филиппин (Philippine Government’s department of science and technology).

Naikon совершал атаки на страны одного и того же географического региона - АТР - включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Мошенники нацеливались на министерства иностранных дел, науки и техники, а также на государственные компании. Предположительный мотив злоумышленников - геополитическая разведка.