Chińska grupa hakerska zaatakowała azjatyckie państwa

Badacze Bitdefendera odkryli oznaki złożonych, ukierunkowanych działań szpiegowskich wymierzonych w instytucje rządowe krajów Azji Południowo- Wschodniej. Wszystko wskazuje na to, że za atakami stoi chińska grupa ATP

Bitdefender wykrył ślady, z których wynika, że operacja szpiegowska rozpoczęła się w listopadzie 2018 roku. Znaczny wzrost aktywności chińskiej grupy ATP nastąpił na początku 2019 roku. Od tego czasu w ciągu pięciu miesięcy udało im się zainfekować około 200 systemów. Niektóre dowody sugerują, że hakerzy uzyskali nieautoryzowany dostęp do kontrolerów domeny, co umożliwiło przejęcie kontroli na dużą liczbą maszyn wchodzących w skład infrastruktury. Dochodzenie pokazuje, iż szpiegowanie trwało tak długo, jak było to możliwe. Napastnicy monitorowali działania ofiar i eksfiltrowali dane wywiadowcze. Grupa ATP używała rozbudowanego zestawu narzędzi do eksploracji danych, wśród których znalazł się między innymi cały arsenał dropperów oraz backdoorów (Chinoxy, PcShare, FunnyDream).

Z analizy telemetrycznej Bitdefendera wynika, że większość serwerów C&C (Command and Control) znajduje się w Honkongu, chociaż zidentyfikowano je również we Wietnamie, Chinach oraz Korei Południowej. Rozproszona infrastruktura C&C kontroluje trzy wymienione wcześniej backdoory. Posiadanie serwerów sterujących w tym samym regionie, w którym znajduje się cel ataku, usypia czujność osób śledzących ruch IP. Z pewnością bardziej podejrzane byłyby próby komunikacji zdalnej pochodzące z innego kontynentu. Obecnie gros serwerów C&C należących do przestępczej grupy jest nieaktywnych, ale niewielka część wciąż działa. Nie można wykluczyć, że za jakiś czas napastnicy ponowią swoje ataki.

Czytaj też: Hakerzy też czekają na czarny piątek

Mat.Pras./KG