Анализ одного C&C-сервера вскрыл множество киберопераций правительства КНР
15/05/19
Во вторник, 14 мая, специалисты BlackBerry Cylance Threat Intelligence опубликовали доклад о недавних атаках китайских киберпреступников, основывающийся на более раннем исследовании американской компании Area 1 Security.
В декабре прошлого года эксперты из Area 1 Security сообщили о продолжающейся вредоносной операции, проводимой китайскими «правительственными» хакерами. По их словам, злоумышленники получили доступ к сети дипломатической переписки в Европейском союзе. Скомпрометированными оказались системы Министерства иностранных дел Кипра и вся сеть COREU, используемая для дипломатической переписки между странами ЕС. Жертвами атаки стали около ста организаций, в том числе торговые союзы и научные организации. Ответственность за взлом предположительно лежит на Войсках стратегической поддержки Народно-освободительной армии КНР.
Специалисты BlackBerry Cylance Threat Intelligence обнаружили в исследовании коллег из Area 1 Security интересную деталь – все атаки осуществлялись с одного-единственного C&C-сервера. Как показал дальнейший анализ, помимо Войск стратегической поддержки, сервером также пользовался целый ряд «разнокалиберных» китайских кибергруппировок. Все они использовали одни и те же вредоносные программы и шаблоны проектирования эксплоитов, но действовали в интересах разных ведомств.
Исследователям удалось найти связь между Войсками стратегической поддержки и киберпреступниками, занимающимися шпионажем в интересах Национальной комиссии по безопасности, народной вооруженной милиции и Министерства общественной безопасности. Если Войска стратегической поддержки интересуют военные цели, то перечисленные выше ведомства следят за активистами, представителями различных этнических групп на территории Китая (в частности за уйгурами и тибетцами) и сторонниками независимости Тайваня.