Киберкрысы атакуют: госучреждения Китая в большой опасности

Недавно эксперты из Fuying Lab компании NSFOCUS обнаружили масштабную кибератаку против китайских госучреждений, длившуюся более 6 месяцев. Атака была организована ранее неизвестной хакерской группировкой, получившей от исследователей название «Double Alien Rat» или «Двойная инопланетная крыса».

Группа использовала zero-day уязвимости в сетевых устройствах для получения доступа к внутренним сетям государственных организаций и предприятий. После этого злоумышленники сканировали сеть в поисках ценных данных и осуществляли целенаправленные атаки.

По данным исследователей, «Двойная крыса» демонстрирует высокий уровень мастерства и осведомлённость об особенностях сетей и языковой среды Китая. Группа также активно использует методы дезинформации, чтобы скрыть следы своей деятельности и симулировать атаки известных APT-группировок.

Как сообщается, «Двойная крыса» использует три основных этапа атаки. На первом происходит компрометация доступных из Интернета устройств через использование уязвимостей нулевого дня. Получив доступ, злоумышленники загружают на взломанные устройства вредоносное ПО.

На втором этапе с помощью сетевого сканирования выявляются уязвимые устройства уже во внутренней сети жертвы. Этап позволяет оценить ценность доступных целей и выбрать дальнейшую тактику атаки.

На третьем этапе взломанные устройства используются для рассылки целевых фишинговых писем сотрудникам организации, что дополнительно повышает эффективность атаки.

Тактика «Двойной крысы» отличается особой изощрённостью. Хакеры стараются скрыть следы своей деятельности и ввести расследование в заблуждение. В частности, они используют инструменты и техники, характерные для таких известных APT-группировок, как APT29 и APT32, что позволяет симулировать атаки этих группировок и существенно затруднять атрибуцию инцидентов.

Кроме того, группировка «Двойная крыса» тщательно маскирует свои вредоносные программы и избавляется от любых данных, которые могут привести к раскрытию личности хакеров.

Несмотря на продвинутую тактику группировки, экспертам всё же удалось составить приблизительный профиль этих злоумышленников. Исходя из используемых инструментов и методов, особенностей языка и понимания специфики сетей Китая, можно предположить, что это опытная внешняя хакерская группа, базирующаяся в одной из азиатских стран и специализирующаяся конкретно на кибератаках против Китая. Специалисты считают, что деятельность «Двойной крысы» представляет серьёзную угрозу для кибербезопасности страны.

Эксперты призывают местные организации усилить защиту от использования 0-day уязвимостей и целевых атак, а также развивать возможности анализа киберинцидентов. В будущем это позволит предотвратить крупные APT-атаки, подобные деятельности «Двойной крысы».