США применили «скрытое адаптируемое» оружие для атаки на университет в КНР
«Скрытое и адаптируемое» оружие, используемое американским разведывательным центром Агентства национальной безопасности (АНБ) для проведения кибератак на систему электронной почты Северо-Западного политехнического университета в провинции Шэньси, известного своими исследованиями в области авиации, аэрокосмической промышленности и навигации, было захвачено китайскими экспертами по кибербезопасности, сообщает 13 сентября газета Global Times.
5 сентября китайская техническая команда объявила, что, извлекая множество образцов троянов из интернет-терминалов Северо-Западного политехнического университета при поддержке европейских и южноазиатских партнеров, она первоначально определила, что кибератака на университет была проведена с помощью Индивидуальных операций доступа (TAO) (Код S32) в рамках Бюро сбора данных (Код S3) Информационного отдела (Код S) АНБ США.
Нацелившись на Северо-Западный политехнический университет, ТАО использовали 41 вид оружия для кражи основных технологических данных, включая конфигурацию ключевого сетевого оборудования, данные управления сетью и основные оперативные данные. Техническая команда обнаружила, что более 1100 ссылок для атак проникли внутрь университета и более 90 последовательностей инструкций по эксплуатации, которые украли несколько файлов конфигурации сетевых устройств, а также другие типы журналов и ключевых файлов, сообщила команда.
Более глубокий анализ, проведенный Национальным центром реагирования на чрезвычайные ситуации с компьютерными вирусами Китая и пекинской лабораторией Qi An Pangu, показал, что кибернетическое оружие, известное как «чаепитие», является одним из самых прямых виновников кражи больших объемов конфиденциальных данных.
Эксперт по кибербезопасности из лаборатории сообщил Global Times, что ТАО использовали «чаепитие» в качестве инструмента для обнаружения секретов, внедрили его во внутренний сетевой сервер Северо-Западного политехнического университета и украли пароль для входа в систему служб удаленного управления и удаленной передачи файлов, таких как SSH, чтобы получить доступ к серверам в интрасети и другим ценным серверам, что приводит к краже крупномасштабных, постоянных конфиденциальных данных.
«Чаепитие» может не только красть учетные записи и пароли для удаленной передачи файлов, но и способен к сокрытию и адаптации к новой среде. По словам анонимного эксперта, после внедрения в целевой сервер и оборудование «чаепитие» будет маскироваться под обычный фоновый процесс обслуживания и поэтапно отправлять вредоносную нагрузку, что делает его очень трудным для поиска.
«Чаепитие» может незаметно запускаться на сервере, отслеживать ввод пользователя в терминальную программу консоли операционной системы в режиме реального времени и перехватывать все виды имен пользователей и паролей от нее.
«Как только эти имена пользователей и пароли будут получены TAO, они могут быть использованы для проведения следующего этапа атаки, чтобы помочь офису украсть файлы на серверах или доставить другое кибероружие», — сказал эксперт по кибербезопасности.
В феврале эксперты из лаборатории Qi An Pangu сообщили Global Times, что они обнаружили ведущую хакерскую группу под руководством АНБ США, которая уже более десяти лет использует кибероружие «Телекрин», проникнув в 45 стран и регионов, включая Китай, Россию, Японию, Германию, Испанию и Италию, с атаками на 287 важных институциональных целей.
Также было обнаружено, что «Телекрин» использовался вместе с «чаепитием» для запуска атаки на систему электронной почты Северо-Западного политехнического университета, сообщил источник. По словам источника, китайские эксперты также обнаружили следы атаки «чаепития» в сети других учреждений, что показывает, что оружие, вероятно, было использовано TAO для запуска крупномасштабной кибератаки на Китай.