Хакеры, работающие на министерство государственной безопасности Китая, внедрились в сети IBM и Hewlett-Packard и взломали защиту компьютеров клиентов этих американских компаний. Об этом сообщает Reuters со ссылкой на источники.
По данным агентства, круг американских компаний, к сетям которых хакеры получили несанкционированный доступ, не ограничивается Hewlett-Packard и IBM. Reuters, однако, не удалось выяснить названия остальных таких фирм или установить пострадавших от взлома клиентов. В беседе с Bloomberg представитель IBM заявил, что у компании нет никаких доказательств того, что хакеры получили конфиденциальную информацию о компании или ее клиентах.
IBM в последний раз проводила расследование кибердиверсии летом, а Hewlett-Packard — в начале 2017 г., рассказали источники Reuters. Когда произошли хакерские атаки с участием китайских хакеров, не уточняется.
Министерство юстиции и ФБР США также объявили в четверг о предъявлении двум гражданам Китая заочных обвинений в причастности к масштабным кампаниям хищения интеллектуальной собственности у частных американских компаний и различных госструктур. Обвиняемые Чжу Хуа и Чжан Шилун якобы связаны с министерством государственной безопасности КНР и, согласно версии американской стороны, работали на компанию "Хуаин Хайтай", но одновременно "были участниками действующей в Китае хакерской группы", известной как APT10, Red Apollo, CVNX, Stone Panda, MenuPass и POTASSIUM.
Дело хакеров расследовало ФБР. По данным американского следствия, по крайней мере с 2006 по 2018 год Хуа и Шилун взламывали компьютеры с целью кражи интеллектуальной собственности, а также конфиденциальной деловой и технологической информации.
Сообщается, что они атаковали не менее 45 коммерческих и оборонных предприятий как минимум в 12 американских штатах; серверы компаний, предоставляющих услуги вычислительных центров и хостинг, а также их клиентов (и коммерческих, и государственных) как минимум в 12 странах; взломали компьютерные системы ВМС США и похитили личную информацию более чем 100 тысяч человек, включая их имена, номера страховок, телефоны, адреса электронной почты, даты рождения, информацию о зарплатах. Также они атаковали компьютеры, связанные с лабораторией реактивного движения НАСА.
Цитата:
АНАСТАСИЯ ТИХОНОВА, РУКОВОДИТЕЛЬ ГРУППЫ ИССЛЕДОВАНИЯ СЛОЖНЫХ УГРОЗ GROUP-IB
APT10 (известная также под именами MenuPass, DustStorm, Red Apollo, CVNX, HOGFISH, Stone Panda, POTASSIUM, Cloud Hopper) - китайская прогосударственная киберпреступная группа, действующая как минимум с декабря 2009 года. Группа атакует с целью шпионажа строительные, инженерные, аэрокосмические, телекоммуникационные отрасли, а также правительственные организации в США, Европе и Японии. Вначале группа применяла стандартный метод целевых фишинговых рассылок по электронной почте с вредоносными вложениями, но позже усовершенствовала свои методы и начала проводить атаки через поставщиков услуг.
Кампания, получившая название "Cloud Hopper", была замечена в 2016 году и продолжалась в 2017-м. Основным вектором атаки было использование ИТ-инфраструктуры управляемых услуг (Managed services providers, MSP). Получив доступ к MSP, хакеры могли заполучить доступ к их критическим данным, а также доступ к клиентам этих MSP. Злоумышленники из APT10 часто используют в атаках публичнодоступные инструменты, и доработанные вредоносные программы - PlugX, RedLeaves, QuasarRAT, но также и собственную разработку ChChes (aka Scorpion) служащую для сбора информации о жертве - имя компьютера, идентификаторы запущенных процессов, путь к %TEMP% и версию Internet Explorer.
Китайские хакеры регулярно атакуют различные страны в рамках своей кибершпионажной деятельности. И вроде бы в 2015 году активность хакеров из Китая снизилась после подписания соглашения с США о борьбе с хакерством, однако в конце 2016-начали 2017 вновь были замечены атаки различных кибергрупп. Примером могут служить атаки TEMP.Periscope против политических партий Камбоджи, вредоносная кампания LuckyMouse, нацеленная на государственные учреждения стран Средней Азии, хакерская активность группы Tick, использующая для атак USB-носители Южной Кореи, и т.д.
|
В компании Group-IB напоминают, что в уходящем году проправительственные хакерские группировки активно проникали на объекты критической инфраструктуры с целью саботажа и шпионажа, значительная часть атак была направлена именно на энергетический сектор, финансовую и военную острасли, предприятия телекома. В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. При этом Юго-Восточная Азия — самый активно атакуемый регион. Всего за год в нем была зафиксирована активность 21 APT-группы, что больше, чем в США и Европе.
Источник
21.12.2018, 22:01
