Китайское шпионское ПО вновь обнаружено в энергосети соседней страны

Исследовательская группа Symantec's Threat Hunter Team сообщила о команде, получившей название "Redfly". Эта команда внедрилась в национальную энергосеть неуказанной азиатской страны с использованием трояна ShadowPad. Злоумышленники украли учетные данные, установили дополнительные вредоносные программы и зашли на многие системы в зараженной сети, сохраняя доступ в течение шести месяцев.

Да тех кто не вкурсе: ShadowPad — это вредоносное ПО для Windows, которое, как предполагается, было использовано Китайскими хакерами для атаки на энергосеть Индии возле границы с Китаем в прошлом году.

Symantec не указывал путь вторжения в этой последней атаке, утверждая лишь, что все началось с одного зараженного компьютера. В процессе вторжения ShadowPad притворялся файлами и директориями программы VMware, чтобы скрыть свое присутствие. После этого были загружены дополнительные инструменты, включая кейлоггер.

По словам Symantec, в атаке использовался вариант ShadowPad, который имел прямое отношение к атаке на Индию: он использовал один и тот же сервер удаленного управления. Несмотря на то, что окончательные выводы еще не сделаны, аналитик из Symantec's Threat Hunter Team, Дик О'Брайен, подтвердил, что использовалась одна и та же инфраструктура.

Сама команда Redfly, предположительно, ориентирована на атаки государственного масштаба, пренебрегая коммерческими целями в пользу объектов с высокой разведывательной ценностью.

Несмотря на то, что атака Redfly не привела к каким-либо нарушениям, Symantec подчеркивает, что это не единственный случай несанкционированного доступа к критически важным объектам национальной инфраструктуры.

Исследовательская группа предупредила о росте частоты таких атак на объекты национальной инфраструктуры за последний год, выразив обеспокоенность по этому поводу.

Дик О'Брайен также отметил, что по данным Microsoft, атаки, проведенные китайской группой Volt Typhoon, были более разнообразными и не ограничивались только энергосетями.