Unfading Sea Haze: как хакеры пытаются перекроить карту Южно-Китайского моря
leer en español

Компания Bitdefender, разработчик антивирусных решений, расследует деятельность хакерской группировки под названием Unfading Sea Haze . Согласно недавнему отчету, эта малозаметная группа орудует с 2018 года и, вероятно, действует в интересах Китая.

В своем докладе исследователи Bitdefender детально описывают злоумышленников и методы взлома компьютеров под управлением Windows с последующим заражением шпионским ПО для кражи данных. Атаки Unfading Sea Haze, нацеленные в основном на правительственные и военные объекты, отличаются изощренностью.

Специалистам не удалось окончательно установить происхождение и истинные цели Unfading Sea Haze. Однако они уверенно заявляют, что изученные ими атаки не имеют ничего общего с уже известными кампаниями.

Аналитики решили, что хакеры базируются в Китае, ориентируясь на несколько факторов: выбор жертв в районе Южно-Китайского моря, использование инструментов, популярных среди китайских акторов, а также сценарии атак, сходные с методами другой политически-мотивированной банды — APT41.

Южно-Китайское море имеет огромное стратегическое значение для Китая с геополитической и экономической точек зрения. Контроль над этим регионом обеспечивает выход в Тихий океан и дает преимущества в торговых путях. При этом на отдельные участки моря претендуют и другие государства региона — Малайзия, Филиппины, Вьетнам и некоторые другие. Китай же выдвигает территориальные претензии почти на всю акваторию, о чем свидетельствует так называемая «девятипунктирная линия» — обозначение морских границ, проведенное на картах КНР.

По данным отчета, первая успешная атака Unfading Sea Haze на системы Windows датируется как минимум 2018 годом. Bitdefender удалось подтвердить, что для получения доступа хакеры использовали целенаправленные фишинговые рассылки, маскируя вредоносные файлы под легитимные документы.

Всего жертвами Unfading Sea Haze стали не менее восьми организаций, преимущественно правительственных учреждений и структур военного сектора. Как указано в исследовании, в марте 2023 года злоумышленники модернизировали свои методики, научившись запускать вредоносный код прямо из оперативной памяти без записи на жесткий диск, что затрудняло его обнаружение.

На скомпрометированные системы устанавливались различные вредоносные программы, в том числе трояны из семейства Gh0st RAT и утилита Ps2dllLoader. Вредоносный код маскировался под легитимные запланированные задачи и безобидные расширения, но на самом деле загружал вредоносные библиотеки DLL для ведения скрытого шпионажа. Эти библиотеки перехватывали нажатия клавиш с клавиатуры, похищали конфиденциальные данные, хранящиеся в браузерах, а также сканировали подключаемые съемные носители.

Все собранные хакерами данные, включая похищенные конфиденциальные файлы, отправлялись злоумышленникам по протоколу FTP с помощью утилиты Curl. Изначально для доступа использовались статические учетные данные, «зашитые» в код вредоносной программы, но позднее группа перешла к динамической генерации логинов и паролей.

По наблюдениям экспертов, атакующие из Unfading Sea Haze постепенно меняли как тактику, так и инструменты. Поскольку группировка была раскрыта только сейчас, ее инновации, вероятно, были частью целенаправленного долгосрочного плана, а не спонтанной реакцией на возникающие инциденты.

Представитель Bitdefender пояснил, что компания осознает общественный интерес, но из соображений безопасности не может раскрывать конкретные страны или организации, ставшие мишенями хакеров.