Китайские хакеры атаковали российские госструктуры и компании

Китайские хакеры провели атаку на российские государственные агентства и технологические компании, используя вредоносные инструменты.

Согласно новому отчету, эти кибератаки, условно названные "Восточный Ветер" (EastWind), были обнаружены в конце прошлого месяца исследователями из российской компании по кибербезопасности Kaspersky. Не совсем ясно, почему хакеры пошли на такой шаг, учитывая, что Россия считает Китай своим союзником. А учитывая масштаб, маловероятно, что это была какая-то независимая группа хакеров, так или иначе не связанная с правительством.

В рамках кампании хакеры использовали троян удаленного доступа GrewApacha (RAT), неизвестную "черную дверь" PlugY и обновленную версию вредоносного ПО CloudSorcerer — того самого CloudSorcerer, который ранее шпионил за российскими организациями.

GrewApacha RAT — любимый инструмент группы APT31, связанной с Пекином с 2021 года, снова появился на сцене. PlugY, который имеет много общих черт с инструментами, используемыми предполагаемыми китайскими хакерами из APT27, также был задействован в атаке.

Kaspersky отметил, что хакеры рассылали фишинговые письма с вредоносными архивами. На первом этапе атаки они использовали динамическую библиотеку (DLL), часто встречающуюся в компьютерах с Windows, для сбора информации о зараженных машинах и загрузки дополнительных вредоносных инструментов.

Хотя Kaspersky не приписал эти атаки напрямую APT31 или APT27, они отметили сходство используемых инструментов. С другой стороны, атака могла быть совершена при помощи этих инструментов, чтобы замести следы.

Хакеры APT27 активны как минимум с 2010 года, нацеливаясь на организации в таких секторах, как аэрокосмическая промышленность, государственные учреждения, оборона, технологии, энергетика, производство и игорный бизнес. В 2022 году они даже атаковали законодательное собрание одного из штатов США, используя уязвимость Log4j.

В июле этого года британское правительство обвинило APT31, связанную с группой RedBravo, в нарушении серверов Избирательной комиссии и доступе к личной информации почти 40 миллионов человек.

Kaspersky отметил, что PlugY был развернут с использованием обновленной версии "черной двери" CloudSorcerer, ранее использованной для кражи данных у российских госструктур. Исследователи описали CloudSorcerer как "сложный инструмент кибершпионажа", который использовал легальные облачные сервисы, такие как Yandex Cloud и Dropbox, для скрытного мониторинга и сбора данных. Обновленный вариант использовал популярную российскую блог-платформу LiveJournal и сайт Quora в качестве начальных серверов команд и управления.

В июле исследователи из компании по кибербезопасности Proofpoint обнаружили вредоносный инструмент, схожий с CloudSorcerer, который был использован для атаки на организацию в США. В кампании Eastwind, по данным Kaspersky, хакеры применили аналогичный метод заражения, как и в атаке на американскую организацию.