По данным отчета, на первом этапе злоумышленники воспользовались неизвестной на тот момент уязвимостью в системе управления взаимоотношениями с клиентами (CRM), используемой компанией для хранения данных о контрактах и клиентах. Через уязвимость им удалось загрузить произвольные файлы и установить контроль над системой, а затем удалить часть журналов событий для сокрытия следов, пишет Securitylab.
5 марта 2024 года в CRM-систему был внедрен специальный троян, размещённый по пути.
Этот вредоносный инструмент позволял выполнять любые команды на заражённом сервере. Для обхода обнаружения его связь с командными серверами шифровалась и дополнительно усложнялась кодированием и сжатием.
Позднее, 20 мая 2024 года, атакующие осуществили горизонтальное перемещение внутри сети и получили доступ к системе управления кодами продуктов и проектов компании.
Расследование показало, что в период с марта по сентябрь злоумышленники через 14 зарубежных прокси-IP похитили около 950 МБ данных из CRM-системы. Среди украденной информации — более 8000 клиентских записей, свыше 10 000 контрактов и данные о ключевых заказах, включая заказы от государственных структур Китая.
С мая по июль 2024 года атаки продолжились на систему управления исходными кодами, откуда через три других зарубежных прокси-IP было похищено около 6,2 ГБ данных, включая материалы по трем исследовательским проектам в области криптографии.
Анализ вредоносного кода показал его очевидное родство с ранее выявленными кибероружием, связанным с американскими спецслужбами. Атаки происходили преимущественно в рабочее время по восточному времени США — с 10 до 20 часов по рабочим дням, тогда как в праздники активность не фиксировалась, что дополнительно указывает на государственное происхождение угрозы.
Особенностью операции стала высокая степень маскировки: злоумышленники активно использовали общедоступные инструменты для обхода обнаружения, временно устанавливали стандартные веб-оболочки, оперативно переключали IP-адреса для затруднения отслеживания и удаляли логи. Все это свидетельствует о наличии у атакующих богатых ресурсов, высокой координации и явной профессиональной подготовки.
На данный момент опубликован также частичный список IP-адресов, использованных в качестве промежуточных узлов для проведения атаки.