Китайские хакерские группировки могут быть причастны к атакам на российский оборонный сектор
Представители «Лаборатории Касперского» уточнили, что нападениям подвергаются не только отечественные компании, но и государственные учреждения других восточноевропейских стран.
На данный момент выявлено двенадцать эпизодов – считается, что нападения совершены членами китайской хакерской группировки Т428. Известно, что преступники использовали современные модификации популярных вредоносов, ориентированных на скрытое управление поражёнными системами. Эксперты отметили высокий уровень подготовки хакеров – они обошли защитные системы и применяли новейшие техники атак.
Внедрение вредоносов осуществлялось с помощью фишинговых писем, содержащих внутреннюю информацию, принадлежащую организациям. Например, хакеры использовали имена лиц, имеющих доступ к работе с конфиденциальными данными. Владельцы информации уверены в отсутствии утечек – они заверяют, что на момент отправки писем данные не находились в руках третьих лиц и, тем более, в открытом доступе.
Вредоносы, попав в систему, использовали уязвимость CVE-2017-11882, благодаря чему преступники получали право управления устройствами без каких-либо действий со стороны пользователей. Также эксплуатация ошибки позволяла хакерам избавиться от необходимости включать выполнение макросов.
Для масштабирования атаки использовалась утилита Ladon, предназначенная для мониторинга сети, фиксации уязвимостей и похищения учётных данных. Контроль над серверами организаций хакеры устанавливали путём захвата контроллера домена. После преступники осуществляли загрузку конфиденциальной информации на собственные серверы, за счёт которых также выполнялось управление вредоносным ПО.