Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.
Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.
В ходе хакерской операции Iron Tiger группа злоумышленников под названием Emissary Panda или Threat Group-3390 (TG-3390) занималась хищением электронных писем, интеллектуальной собственности, стратегически важных документов, связанных с бюджетом и финансированием организаций, а также информации, компрометация которой могла навредить учреждениям.
В 2013 году хакеры сфокусировались на американских технологических компаниях. По предположениям специалистов, шпионаж осуществлялся китайскими злоумышленниками. Все VPN-серверы, которые были использованы хакерами, в основном расположены в Китае. Различные имена файлов, пароли и некоторые текстовые ресурсы были на китайском языке. Доменные имена и интернет-порталы, к которым обращались злоумышленники, в том числе QQ, Lofter и 163.com, чаще всего используются в Поднебесной.
В кибератаках хакеры использовали довольно простые методы взлома, так как компьютерные системы целевых учреждений не были достаточно защищены. Однако в некоторых случаях злоумышленники прибегали к уникальным вредоносным инструментам, таким как dnstunserver, который невозможно приобрести на подпольных рынках, а также к троянам для удаленного доступа PlugX и Gh0st.
Обойти системы безопасности хакерам помогал похищенный подписанный компанией SoftCamp сертификат. Злоумышленникам также удавалось перехватывать учетные данные Microsoft Exchange с помощью Robocopy и команды Export-Mailbox в PowerShell. Хакеры прибегали к уникальному трояну, который был создан специально для компрометации Google Cloud Platform. Китайские шпионы осуществили ряд целевых фишинговых атак на конкретных сотрудников компаний.
По словам экспертов из Trend Micro, финансовый ущерб от шпионской кампании оценить крайне тяжело. Хакерам удалось похитить «годы правительственных и корпоративных исследований и разработок».
Живой, мертвый или в суперпозиции? Узнайте в нашем канале