СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
03.08.2021
#ИБ#Инфра

Китай проводит кибератаки в странах Юго-Восточной Азии

Китай проводит кибератаки в странах Юго-Восточной Азии

Компания по кибербезопасности Cybereason Nocturnus обвинила китайские власти в поддержке хакеров, которые проводят кибератаки на крупные телекоммуникационные компании стран Юго-Восточной Азии.

Сообщается, что эксперты по кибербезопасности по результатам многомесячного исследования обнаружили сразу три разные киберпреступные группировки, которые «работают в интересах Китая и сосредоточены на атаках по организациям Юго-Восточной Азии».

В Cybereason Nocturnus отмечают, что эти хакерские группы являются «ранее неопознанными». Считается, что кибератаки, которые в недавнем времени были зафиксированы на ряд компаний из стран Юго-Восточной Азии, являются результатом работы «продвинутых киберпреступных группировок», которые имеют государственную поддержку. В Cybereason Nocturnus уверены, что спонсорская поддержка исходит со стороны китайских властей.

По результатам проведенного исследования были выявлены три группы активности, наиболее старые из которых датированы 2017 годом:

  • Первая хакерская группа, которая, как предполагают в Cybereason Nocturnus, управляется APT-группировкой Soft Cell. Она проводит свои атаки на азиатские организации с 2018 года.
  • Вторая группа относится к APT-группировке Naikon. Впервые свои атаки она провела в конце 2020 года.
  • Третья группа наиболее старая, её вредоносная активность фиксируется с 2017 года. Предположительно, она связана с APT-группировкой APT27 (Emissary Panda).

Методы, с помощью которых проводятся атаки на телекоммуникационные компании Юго-Восточной Азии, включают в себя: эксплуатацию уязвимостей Microsoft Exchange Server, использование Mimikatz для сбора учетных данных, создание маяков Cobalt Strike и бэкдоров для подключения к командному серверу для последующей кражи конфиденциальной информации.

В компании Cybereason Nocturnus утверждают, что на каждой волне зафиксированных кибератак целью взлома телекоммуникационных компаний Юго-Восточной Азии было «упрощение процессов кибершпионажа за счет сбора конфиденциальной информации, компрометации важных бизнес-активов, таких как серверы биллинга, содержащих данные Call Detail Record (CDR), а также ключевые сетевые компоненты, такие как контроллеры домена, веб-серверы и серверы Microsoft Exchange».

«На момент завершения нашего расследования не до конца ясно, действуют ли эти китайские хакерские группы отдельно, либо связаны друг с другом. У нас есть некоторые гипотезы, которые объясняют совпадения. Надеемся, что со временем появится дополнительная информация, которая прольёт свет на эту злонамеренную активность со стороны Китая», – отмечают в Cybereason Nocturnus.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: