26/11/19
Китайская ИБ-компания Qihoo 360 опубликовала отчет о разоблачении масштабной вредоносной кампании, направленной против Казахстана. Целями киберпреступной группировки, получившей название Golden Falcon (или APT-C-34), оказались отдельные лица, правительственные учреждения, военные, иностранные дипломаты, исследователи, журналисты, частные компании, сектор образования, религиозные деятели и правительственные диссиденты.
Согласно Qihoo 360, злоумышленники обладают значительными ресурсами и возможностями разрабатывать собственные вредоносные инструменты, покупать дорогостоящее шпионское ПО и даже технику для перехвата радиосигналов. Некоторые признаки указывают на то, что в рамках одних атак осуществлялась отправка специально сформированных электронных писем с вредоносными вложениями, в то время как другие полагались на физический доступ преступников, находившихся в Казахстане.
Исследователям из Qihoo 360 удалось получить доступ к одному из C&C-серверов Golden Falcon, где они обнаружили похищенные у жертв данные. Информация представляла собой в основном офисные документы, похищенные со взломанных компьютеров. Украденные данные были рассортированы по папкам с названиями 13 крупнейших казахстанских городов.
Исследователи расшифровали похищенные данные и обнаружили доказательства того, что Golden Falcon также шпионила за иностранными гражданами в стране — одними из целей группировки были иностранные студенты и китайские дипломаты.
Среди используемых преступниками инструментов исследователи выявили новую версию Remote Control System от итальянского поставщика HackingTeam и троянское ПО Harpoon, которое, предположительно, было разработано самой группой. Функционал Harpoon позволяет осуществлять перехват вводимых объектом с клавиатуры символов и знаков, перехват текста из буфера обмена, получение списка содержимого заданного каталога на жестком диске, перехватов логинов, контактов, сообщений в Skype, записей разговоров в Skype и Hangouts, запись звука с микрофона, удаленную перенастройку и обновление вредоносного ПО и его самоуничтожение по команде.
Кроме того, Golden Falcon приобрела оборудование у московского оборонного подрядчика Yurion, специализирующегося на радиомониторинге, прослушке и другом коммуникационном оборудовании.
