gmorder (gmorder) wrote,
gmorder
gmorder

Category:

От телеграмм канала SecAtor

Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.

Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.


Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.


Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.


Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.


Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.


Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.


Начнем с атаки на CCleaner.


В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.


Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.


В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.


Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.


Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).


Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.


В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.


Tags: Китай, интернет
Subscribe

Recent Posts from This Journal

promo gmorder june 23, 19:43 10
Buy for 200 tokens
Огромная просьба к читателям помочь. К сожалению при текущем положении дел, у меня возникла проблема с выплатой кредитов, которые как я уже пояснял были в подавляющем большинстве взяты на сопутствующие расходы по лечению раненых. Теперь эта гиря висит постоянно, я стараюсь сам справляться с ними,…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment