Хакеры из MirrorFace атакуют японское правительство и политиков с 2019 года

Изображение: Roméo Arnault (unsplash)
Национальное полицейское управление Японии и Центр кибербезопасности при Кабинете министров сообщили об активной кампании кибершпионажа, направленной против государственных структур и высокопоставленных чиновников страны. Эксперты предполагают, что за этими действиями стоит китайская хакерская группа MirrorFace.
Отмечается, что хакерская активность началась ещё в 2019 году и продолжается по настоящее время. Аналитики выделяют несколько этапов атак, отличающихся своими целями и методами. Основной задачей злоумышленников остаётся хищение данных о передовых технологиях Японии, а также сбор информации, важной для национальной безопасности.
Согласно данным Национального полицейского управления, MirrorFace активно эксплуатирует уязвимости в сетевом оборудовании. В числе используемых уязвимостей указаны CVE-2023-28461 в продуктах Array Networks, CVE-2023-27997 в устройствах Fortinet и CVE-2023-3519 в системах Citrix ADC/Gateway.
После получения доступа к сетям хакеры внедряют вредоносное программное обеспечение, включая LODEINFO, ANEL, NOOPDOOR и другие виды, позволяющие красть данные и устанавливать бэкдоры для долгосрочного доступа.
Эксперты выделили три ключевые кампании, проведённые MirrorFace:
- Кампания 2019–2023 годов была направлена на аналитические центры, государственные структуры, политиков и медиа. Основным методом атак стали вредоносные электронные письма, целью которых было хищение информации.
- В 2023 году хакеры сосредоточились на использовании уязвимостей программного обеспечения в устройствах, подключённых к Интернету. Основной удар пришёлся на сектора полупроводников, производства, ИКТ, научные учреждения и аэрокосмическую отрасль.
- С 2024 года внимание злоумышленников вновь переключилось на аналитические центры, научное сообщество, политиков и средства массовой информации. Атаки теперь осуществляются с использованием вредоносных ссылок в электронной почте.
Для длительного сохранения доступа в скомпрометированные сети группа применяет сложные методы уклонения от обнаружения. Один из них включает использование туннелей Visual Studio Code, которые создаются вредоносным ПО ANEL и позволяют выполнять команды на заражённых системах. Другой способ, выявленный в июне 2023 года, связан с использованием функции Windows Sandbox, где LODEINFO запускается в изолированной среде, что помогает обходить антивирусное обнаружение.
Эксперты подчёркивают, что действия MirrorFace представляют серьёзную угрозу для кибербезопасности Японии и требуют усиления мер защиты на всех уровнях.



