0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Как украсть секреты парламента через GitHub. Краткое пособие по мировому шпионажу от азиатских хакеров

Unit 42 TGR-STA-1030 Азия шпионаж фишинг DiaoYu
Как украсть секреты парламента через GitHub. Краткое пособие по мировому шпионажу от азиатских хакеров
Unit 42 TGR-STA-1030 Азия шпионаж фишинг DiaoYu

Новая группировка шпионила за 155 странами сразу и, кажется, теперь она знает о мировой экономике больше, чем сами министры

image

Специалисты Palo Alto Unit 42 раскрыли масштабную шпионскую операцию, которая в течение как минимум двух лет незаметно проникала в государственные сети по всему миру. За атаками стоит новая группировка, получившая обозначение TGR-STA-1030. По оценке исследователей, она действует при поддержке государства в Азии и уже успела взломать ведомства и объекты критической инфраструктуры в десятках стран.

Специалисты заявляют, что только за последний год злоумышленники скомпрометировали не менее 70 организаций в 37 странах. Речь идёт о министерствах, правоохранительных структурах, пограничных службах, финансовых ведомствах, а также учреждениях, связанных с энергетикой, добычей ресурсов, торговлей и дипломатией. Осенью и в начале зимы 2025 года атакующие вели разведку правительственной сетевой инфраструктуры сразу в 155 странах.

Атаки начинались с хорошо подготовленных фишинговых писем. Чиновникам рассылали сообщения о якобы грядущих организационных изменениях в министерствах и ведомствах. В письмах были ссылки на архивы с вредоносными файлами. Названия документов подбирались под конкретную страну и структуру, чтобы не вызывать подозрений. В одном из случаев использовалось имя файла на эстонском языке, связанное с департаментом полиции и погранохраны.

Внутри архивов находился загрузчик вредоносной программы с говорящим названием DiaoYu, что переводится как «рыбалка» и используется как намёк на фишинг. Программа проверяла параметры компьютера и наличие специального файла рядом с собой. Если условия не выполнялись, вредоносный код не запускался. Так злоумышленники обходили автоматические системы анализа. После запуска загрузчик скачивал дополнительные компоненты с площадки GitHub и устанавливал инструмент удалённого управления, широко применяемый в целевых атаках.

Помимо фишинга группировка активно использует эксплуатацию уязвимостей в серверных системах. Зафиксированы попытки удалённого выполнения кода и обхода защиты в решениях Microsoft Exchange, Microsoft Open Management Infrastructure, SAP Solution Manager, сетевом оборудовании D-Link и ряде корпоративных платформ для документооборота и почты. При этом признаков применения неизвестных ранее уязвимостей исследователи не обнаружили. Чаще всего использовались уже известные ошибки, для которых существуют исправления.

Для закрепления в сетях жертв применялись так называемые веб-оболочки и туннели для скрытой передачи трафика. Со временем операторы перешли на новый управляющий каркас под названием VShell, написанный на языке Go. Также были замечены инструменты Havoc, SparkRat и Sliver. В отдельных случаях использовался редкий вредоносный модуль ShadowGuard для Linux. Это скрытый компонент уровня ядра, который прячет процессы и файлы от средств контроля и работает через механизм расширенной фильтрации пакетов. Такие средства обнаружить особенно сложно.

Инфраструктура атакующих многоуровневая. Управляющие серверы чаще всего размещались у легальных провайдеров виртуальных серверов в США, Великобритании и Сингапуре. Это помогает маскировать активность под обычный сетевой трафик и усложняет расследование. Для промежуточных узлов применялись прокси-сервисы, в том числе сеть Tor и коммерческие сети резидентских прокси. Тем не менее эксперты несколько раз фиксировали прямые подключения с адресов азиатского интернет-провайдера, что указывает на регион происхождения группы.

Анализ целей показывает, что интерес злоумышленников часто совпадает с экономическими и политическими событиями. Среди пострадавших есть министерства энергетики и добычи полезных ископаемых в странах Южной Америки, финансовые и торговые ведомства в Европе, структуры, связанные с редкоземельными металлами, авиацией и международными соглашениями. Отдельно отмечены взломы парламента одной страны и учётной записи высокопоставленного избранного чиновника в другой.

Специалисты считают, что основная задача операций — это кибершпионаж и сбор экономической и стратегической информации. С учётом масштаба и выбора целей угроза затрагивает государственные структуры по всему миру. Данные о признаках компрометации уже переданы отраслевым партнёрам и профильным организациям, чтобы упростить поиск следов атак и усилить защиту.