Специализирующаяся на информационной безопасности российская компания Positive Technologies обнаружила идущую прямо сейчас атаку китайских хакеров и опубликовала сведения об их целях и технические особенности применяемых инструментов. Воспользовавшись этими подсказками любой желающий может попробовать обнаружить преступников на доступных ему компьютерах.
Сотрудники Positive Technologies наткнулись на следы подозрительной активности полгода назад, в марте 2020 года. Скоро её удалось идентифицировать как начало тщательно подготовленной атаки, за которой стоит происходящая из Китая (так, компьютеры жертв отправляют информацию на серверы, расположенные большей частью в Гонконге) хакерская группировка Winnti, также известная под именами APT41, Barum и Axiom. Целями Winnti являются фирмы игровой индустрии, финансового сектора, энергетики, связи, авиационно-космического сектора, фармацевтики, строительства, образования и разработчики программного обеспечения (ПО).
Последние расцениваются Winnti как особенно лакомые кусочки, потому что взломав их они могут почти беспрепятственно проникать в самые закрытые информационные системы, встроив свой вредоносный код в самые безобидные программы.
Подобные “атаки типа supply chain весьма трудны в реализации, но при этом остаются наиболее опасными, — приводятся в сообщении Positive Technologies слова ведущего специалиста отдела исследования угроз информационной безопасности Дениса Кувшинова. — Например, при компрометации разработчика ПО злоумышленники могут встроить в его обновление код, предназначенный для сбора информации и отправки её на управляющий сервер злоумышленников. И только по итогам такой разведки, если скомпрометированная организация заинтересует преступников, на уже заражённую машину будет загружен полноценный бэкдор для исследования сети и, скажем, кражи необходимых данных”.
В своём похожем на детектив богато иллюстрированном исследовании “ShadowPad: новая активность группировки Winnti” специалисты Positive Technologies подробно рассказывают, как они шли по следам сетевых преступников. В частности, там приводятся не только перечень используемого хакерской группой программного обеспечения, но и его цифровые подписи, файловые и сетевые индикаторы. Вместе это должно дать возможность сетевым администраторам защитить вверенную им инфраструктуру.
Впрочем, опираясь на эти знания поискать вокруг себя активность хакеров Winnti могут все желающие, потому что начавшаяся полгода назад атака продолжается, утверждают в Positive Technologies.
“Мы не ожидаем, что группа будет снижать свою активность, — говорится в заключении опубликованного исследования. — В настоящее время используемая хакерами инфраструктура только разрастается, что говорит об активных действиях Winnti. По нашим данным, группа уже скомпрометировала более 50 компьютеров, и некоторые из них могут послужить плацдармом для последующих, более серьёзных атак”.
Павел Арабов