Китайские хакеры, спонсируемые государством, незаметно украли интеллектуальную собственность США с 2019 года

китайские хакеры незаметно украли у нас интеллектуальную собственность
В прошлом месяце мы сообщали о спонсируемой государством китайской хакерской группе, известной как «Цикада», которая использовала VLC Media Player для атак на правительства и инфраструктуру. По словам исследователей безопасности, хакеры могли получить доступ к некоторым пострадавшим сетям целых девять месяцев, прежде чем их обнаружили. Теперь исследователи безопасности обнаружили другую китайскую кампанию вредоносных программ, которая оставалась незамеченной с 2019 года.

Исследователи Cybereason недавно проинформировали Федеральное бюро расследований (ФБР) и Министерство юстиции США о злонамеренной кампании по краже интеллектуальной собственности у технологических и производственных компаний Северной Америки, Европы и Восточной Азии. Согласно Cybereason, эта продолжающаяся операция по краже интеллектуальной собственности может быть приписана спонсируемой китайским государством хакерской группе, получившей название Winnti. Группа также известна как продвинутая постоянная угроза (APT) 41, BARIUM и Blackfly. Исследователи назвали эту кампанию кибершпионажа «Операция CuckooBees».

китайские хакеры незаметно украли у нас интеллектуальную собственность новости цепочки убийств
Карта Cybereason структуры атаки Operation CuckoBees

Cybereason говорит, что операция CuckoBees началась как минимум в 2019 году, что дало хакерам годы на то, чтобы скомпрометировать уязвимые цели, провести разведку, выявить ценные данные и удалить эти данные. Группа хакеров смогла украсть сотни гигабайт конфиденциальных документов, чертежей, диаграмм, формул, конфиденциальных данных, связанных с производством, и многого другого. Согласно Cybereason, Winnti также «собирала информацию, которая может быть использована для будущих кибератак, такую ​​как сведения о бизнес-подразделениях целевой компании, сетевой архитектуре, учетных записях и учетных данных пользователей, электронной почте сотрудников и данных клиентов».

Операция CuckoBees приняла форму изощренной многоэтапной атаки, которая скрывалась от традиционного антивирусного программного обеспечения путем злоупотребления Windows Common Log File System (CLFS) и манипулирования транзакциями NTFS (NFTS — это файловая система Microsoft). Журнальные файлы CFLS не могут быть просмотрены антивирусным программным обеспечением или пользователями, а это означает, что злоумышленники могут закрепиться практически незаметно. Хакеры также избегали обнаружения подозрительной активности во время разведки, используя стандартные команды Windows, такие как «ipconfig», «systeminfo» и «ping». Как только хакеры идентифицировали ценные данные, они смогли извлечь их с помощью портативного приложения командной строки WinRAR, подписанного действительной цифровой подписью.

Киберсезон опубликовал несколько отчетов с подробным описанием тактики, методов, вредоносных программ и эксплойтов, использованных Winnti в операции CuckoBees.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал