Китайские специалисты подозревают АНБ в недавней атаке на местный университет

Согласно недавнему отчёту китайского Национального центра реагирования на компьютерные вирусы, а также данным компании Qihoo 360, американская хакерская группировка с государственной поддержкой использовала сразу 5 различных инструментов удалённого доступа для взлома компьютерных систем Северо-Западного политехнического университета Китая.

Эксперты описали каждый вредонос по отдельности. Помимо уже известного NOPEN, названия для отслеживания всех остальных вредоносов представлены исключительно на китайском языке, поэтому далее по тексту перечислим их сразу на русском:

1. NOPEN — троян для Unix/Linux систем, в том числе для межсетевых экранов. Он состоит из клиентской и серверной части. Соединение устанавливается по зашифрованному каналу. NOPEN использовался для заражения межсетевых экранов через уязвимости.
2. «Взрыв ярости» — троян удалённого доступа для Windows со множеством «полезных» функций, таких как кейлоггинг, скриншоты экрана, файловый обозреватель и т.д. Он позволяет устанавливать соединение разными способами, в том числе через HTTP. Именно этот RAT применялся на рабочих станциях для долгосрочного контроля.
3. «Второе свидание» — прокси-троян для перехвата трафика на межсетевых экранах и маршрутизаторах. Позволяет фильтровать трафик по заданным правилам и внедрять вредоносный код. Использовался совместно с платформой FoxAcid.
4. «Коварный еретик» — скрытый бэкдор для долгосрочного контроля систем. Удаляет следы своего присутствия. Может использоваться для загрузки других инструментов, например, того же NOPEN.
5. «Стойкий хирург» — многофункциональный руткит для Linux, Solaris, FreeBSD. Позволяет скрывать файлы, процессы, сетевые соединения. Был задействован для сокрытия NOPEN на заражённых системах.

Таким образом, использование разных инструментов позволило американской APT-группировке эффективно проникнуть во внутреннюю сеть университета и установить скрытый контроль над системами.

NOPEN использовался на первом этапе — для компрометации межсетевых экранов. Затем через уязвимости в браузере осуществлялась атака внутренних систем с помощью «Второго свидания». Далее на рабочие станции заносился RAT «Взрыв ярости» для установления постоянного контроля. «Коварный еретик» обеспечивал скрытое присутствие, а «Стойкий хирург» маскировал следы атаки.

Такой комплексный подход к использованию разных инструментов свидетельствует о высоком уровне подготовки и технических возможностях атакующей стороны. Американские хакеры продемонстрировали глубокое понимание архитектуры атакуемой сети и умение подобрать оптимальный набор вредоносных программ для каждого этапа атаки.

Похоже, что некоторые использованные инструменты были разработаны специально для проведения подобных атак. В частности, «Второе свидание» и «Коварный еретик» ранее не встречались в дикой природе (ITW) и малоизучены экспертами.

Китайские эксперты полагают, что, вполне вероятно, это разработки АНБ (NSA), созданные в рамках программы Tailored Access Operations (TAO), направленной на кибершпионаж и взлом иностранных информационных систем.

В последние десятилетия и без того сложные отношения между крупнейшими мировыми державами всё чаще переходят в онлайн. Кибератака на Северо-Западный политехнический университет Китая является лишь верхушкой айсберга в продолжающейся «холодной кибервойне».

Подобные инциденты лишь подчёркивают, что информационная безопасность и защита данных становятся ключевыми векторами национальной безопасности для любой страны.

Каждое такое событие не только демонстрирует технические возможности атакующих, но и углубляет пропасть недоверия между государствами, делая поиск путей к дипломатическому урегулированию ещё более сложным.