Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), обнаружила активную операцию по кибершпионажу, мишенью которой стало правительство Афганистана. Предположительно, за данную операцию ответственна группа китайских хакеров. Злоумышленники представлялись сотрудниками администрации президента Афганистана, чтобы проникнуть в системы Совета национальной безопасности (СНБ), а также использовали Dropbox для прикрытия своей деятельности. Эксперты Check Point Research считают, что эта атака стала последней в рамках длительной операции, которая началась еще в 2014 году. Тогда жертвами кибершпионажа также стали Киргизия, Узбекистан и другие страны.
Команда Check Point Research (CPR) зафиксировала активную операцию по кибершпионажу, мишенью которой стало правительство Афганистана. Шпионаж предположительно осуществляла группа китайских хакеров IndigoZebra. Чтобы проникнуть в системы Совета национальной безопасности (СНБ) Афганистана, они использовали популярное облачное хранилище Dropbox. В рамках дальнейшего расследования эксперты CPR выяснили, что это последняя атака в рамках длительной кампании, которая проводилась, по меньшей мере, с 2014 года и была нацелена и на другие страны Центральной Азии — Киргизию и Узбекистан.
«Из администрации президента Афганистана»
Расследование Check Point Research началось в апреле, когда чиновник Совета национальной безопасности Афганистана получил электронное письмо, якобы отправленное из администрации президента. Письмо содержало просьбу срочно проверить изменения в документе, связанном с предстоящей пресс-конференцией СНБ.
Команда Check Point Research кратко представила методику кибершпионажа в виде следующего алгоритма:
Киберпреступники используют API Dropbox для маскировки своих вредоносных действий — при этом обмен данными с подозрительными сайтами не осуществляется. Настроенный злоумышленниками бэкдор создает уникальную папку жертвы в учетной записи Dropbox, контролируемой хакерами. Когда им необходимо отправить файл или команду на скомпрометированный компьютер, они помещают их в подпапку «d» папки Dropbox жертвы. Вредоносное ПО обращается к этой папке и скачивает ее содержимое в рабочую папку. Чтобы обеспечить сохраняемость, бэкдор настраивает ключ системного реестра так, чтобы запускаться при каждом входе пользователя в систему.
«Выявление фактов кибершпионажа — по-прежнему приоритетная задача для нас. На этот раз мы обнаружили действующую целенаправленную кампанию, мишенью которой стало правительство Афганистана, — комментирует Лотем Финкельстин (Lotem Finkelsteen), ведущий эксперт по анализу киберугроз Check Point Software Technologies. — У нас есть основания полагать, что Узбекистан и Киргизия также стали жертвами этих атак. Собранные нами сведения указывают на хакеров из Китая. В данном случае злоумышленники использовали интересную тактику обмана одного министерства от имени другого. Такая тактика является очень агрессивной и действенной: любой сотрудник поспешит выполнить всё, что от него просят. В нашем примере киберпреступникам удалось выполнить ряд действий среди чиновников высшего уровня. Кроме того, важно отметить, что хакеры использовали Dropbox, чтобы избежать обнаружения. Нам всем стоит иметь в виду этот метод и принимать профилактические меры. Возможно, эта группа хакеров также атаковала другие страны, хотя мы пока не знаем, сколько и какие именно. По этой причине сегодня мы предоставляем список доменов, которые могли быть задействованы в атаке. Надеемся, что их имена помогут специалистам по кибербезопасности в дальнейших исследованиях, которые дополняют и развивают полученную нами информацию».