Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ угроз: действия китайской группы Aquatic Panda 2016–2023

1
3 мин
За последние семь лет мир кибербезопасности сталкивался с многочисленными угрозами, и одной из самых заметных стала деятельность группы Aquatic Panda. Эта хакерская организация, предположительно связанная с Министерством государственной безопасности Китая (МГБ), специализируется на сборе разведданных и промышленном шпионаже. Их операции охватывают широкий спектр целей и географических регионов, что делает эту группу одной из наиболее опасных игроков на глобальной арене киберугроз. Aquatic Panda действует примерно с 2016 по 2023 год и ориентируется на: Основная цель – сбор информации, отвечающей стратегическим интересам Китая. В индустрии кибербезопасности Aquatic Panda известна под разными именами, включая Earth Lusca и Charcoal Typhoon. Все специалисты сходятся во мнении, что группа ставит перед собой задачу долгосрочного шпионажа с использованием сложных техник вторжений. Начальный этап атак Aquatic Panda связан с эксплуатацией уязвимостей в публично доступных приложениях для получен
Оглавление

Aquatic Panda: Китайская APT-группа, угрожающая глобальной кибербезопасности

За последние семь лет мир кибербезопасности сталкивался с многочисленными угрозами, и одной из самых заметных стала деятельность группы Aquatic Panda. Эта хакерская организация, предположительно связанная с Министерством государственной безопасности Китая (МГБ), специализируется на сборе разведданных и промышленном шпионаже. Их операции охватывают широкий спектр целей и географических регионов, что делает эту группу одной из наиболее опасных игроков на глобальной арене киберугроз.

Общие сведения и тактики работы

Aquatic Panda действует примерно с 2016 по 2023 год и ориентируется на:

  • правительственные учреждения;
  • некоммерческие организации (НПО);
  • академические институты;
  • СМИ.

Основная цель – сбор информации, отвечающей стратегическим интересам Китая.

В индустрии кибербезопасности Aquatic Panda известна под разными именами, включая Earth Lusca и Charcoal Typhoon. Все специалисты сходятся во мнении, что группа ставит перед собой задачу долгосрочного шпионажа с использованием сложных техник вторжений.

Технологии и методы вторжений

Начальный этап атак Aquatic Panda связан с эксплуатацией уязвимостей в публично доступных приложениях для получения первичного доступа к сетям жертв. В арсенале группы — модульное вредоносное ПО, преимущественно ShadowPad, обеспечивающее широкий набор функций, в том числе:

  • кейлоггинг;
  • эксфильтрация файлов;
  • постоянный контроль за системами жертв.

Особенностью вредоносного ПО является высокая степень запутанности — оно хранится в зашифрованном виде на диске и расшифровывается только в памяти. Такой подход значительно осложняет обнаружение вредоносных компонентов статическими методами.

Коммуникация с инфраструктурой злоумышленника осуществляется посредством:

  • зашифрованных каналов связи;
  • пользовательских алгоритмов генерации доменов (custom Domain Generation Algorithms, DGA),

География и мишени атак

Aquatic Panda ведет глобальные операции с задокументированной активностью в Азии, Европе и Северной Америке. Среди пострадавших оказались:

  • правительственные учреждения Тайваня и Таиланда;
  • католическая организация в Венгрии;
  • геополитический аналитический центр во Франции.

Это демонстрирует, что группа интересуется не только политической и военной сферой, но и идеологическим влиянием, подтверждая широкий спектр своих разведывательных задач.

Особенности стратегий и сотрудничество с другими группами

Методы работы Aquatic Panda ориентированы на поддержание долгосрочного доступа к системам, а не на быстрое извлечение данных. Это доказывают:

  • использование специализированных имплантатов;
  • стратегии постоянного присутствия в сетях;
  • обмен инструментами и методологиями с другими APT-группами, особенно с Winnti Group, известной компромиссами в цепочках поставок.

Такое сотрудничество подчеркивает взаимосвязанность китайских кибер-игроков и их согласованность в рамках общей стратегии.

Текущая ситуация и рекомендации для защиты

Несмотря на разоблачения i-Soon — технологического подрядчика, тесно связанного с Aquatic Panda — и связанные с этим операционные проблемы, основная структура китайской киберстратегии остается устойчивой благодаря другим частным подрядчикам. Это требует от организаций принятия комплексных мер безопасности.

Рекомендации по защите включают:

  • регулярное исправление и обновление подключенных к Интернету сервисов;
  • развертывание брандмауэров веб-приложений (WAF);
  • использование поведенческого обнаружения на конечных точках;
  • мониторинг аномалий, особенно связанных с зашифрованным DNS-трафиком;
  • применение информации об угрозах в режиме реального времени для повышения видимости и предсказуемости атак.

Принятие упреждающего и многоуровневого подхода позволяет снизить риски, связанные с одними из самых настойчивых и изощренных хакеров современности.

Aquatic Panda — пример того, как государственные структуры используют сложные киберинструменты для достижения стратегических целей, требующих постоянного внимания мирового сообщества и адаптивных методов защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ угроз: действия китайской группы Aquatic Panda 2016–2023".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.