23/01/25
Национальный центр экстренного реагирования на компьютерные инциденты Китая (CNCERT) опубликовал подробный отчёт о кибератаке на один из китайских научно-исследовательских институтов, специализирующийся на разработке передовых материалов. Согласно документу, атака, организованная злоумышленниками из США, была тщательно спланирована и проведена с использованием сложных методов, пишет Securitylab.
В августе 2024 года хакеры получили доступ к системе через уязвимость в электронном файловом хранилище института, похитив учётные данные администратора. В дальнейшем они проникли в систему управления, внедрив вредоносные программы, которые действовали исключительно в оперативной памяти, что существенно затруднило их обнаружение.
С ноября по декабрь 2024 года злоумышленники распространили специализированные троянские программы через функцию обновления программного обеспечения. В результате были заражены 276 рабочих станций, с которых затем похищались конфиденциальные данные. Основная цель — коммерческие тайны и интеллектуальная собственность, связанные с разработками института.
Особенностью атак стала высокая степень подготовки и целевая направленность. Перед каждой попыткой взлома злоумышленники подбирали ключевые слова, связанные с деятельностью объекта. Общий объём украденной информации составил почти 5 ГБ, включая файлы, критически важные для научных исследований и бизнеса.
Атаки проводились преимущественно в рабочие часы США, с использованием анонимных IP-адресов из Германии и Румынии. Для сокрытия следов хакеры применяли открытые и общедоступные инструменты, избегая статичных файлов на жёстких дисках.
По мнению экспертов CNCERT, такой подход демонстрирует значительные технические ресурсы и организованность группы. Публикация отчёта направлена на предупреждение других стран и организаций о подобных кибератаках, а также на укрепление международного сотрудничества в области кибербезопасности.
