Хакеры атакуют китайских госслужащих

(автор заметки — Крис Удеманс)

Хакеры попытались украсть данные китайских государственных служащих, подделывая страницы входа в систему электронной почты нескольких высокопоставленных агентств и государственных предприятий, как утверждают исследователи кибербезопасности.

Почему это важно: очевидная попытка шпионажа может быть связана с группами таргетированных кибератак — организациями, которые получает доступ к частной информации в течение длительного периода, оставаясь незамеченными. Атаки начались ещё во второй половине 2018 года.

  • Хакеры нацелились на Министерство иностранных дел Китая, Государственное управление по планированию Национального комитета по развитию и реформе и Министерство торговли и другие государственные структуры.

«Путем кражи учётных данных и доступа к сообщениям электронной почты можно получить представление о том, какие решения принимаются в целевой организации, это может привести к краже конфиденциальной информации.

— Доклад о кибербезопасности, опубликованный в прошлый четверг

Подробности: американская компания по кибербезопасности Anomali заявила, что хакеры подделывали сайты, чтобы обмануть сотрудников правительственных учреждений и государственных компаний, заставляя их заходить на поддельные сайты и выдавать свои логины и пароли от электронной почты.

  • В атаке использовались более 40 интернет-доменов и поддоменов. Все сайты имели сертификаты проверки от Let’s Encrypt — службы, которая предоставляет бесплатные сертификаты шифрования владельцам доменов. Владельцы должны доказать контроль над доменом, чтобы получить сертификат.
  • Все поддомены имели схожую структуру именования, как утверждают исследователи.
  • Имеющие значительную степень сходства сертификаты валидации и формы наименования заставили исследователей предположить, что поддельные веб-сайты связаны с одной группой.
  • Китайская компания кибербезопасности 360 в мае связала один из доменов с группой таргетированных кибератак из Юго-Восточной Азии, получившей название Bitter. Исследователи Anomali заявили в своем докладе, что по их мнению, Bitter продолжит атаковать на китайское правительство, используя поддельные страницы входа для доступа к конфиденциальной информации.
  • Помимо правительственных учреждений, хакеры атаковали авиационную компанию China National Aero-Technology Import and Export Corporation и пять других государственных предприятий.

Контекст: Группы таргетированных кибератак привлекают повышенное внимание во всем мире, согласно Технической группы аварийного реагирования государственных компьютерных сетей Китая (CN-CERT) — центра кибербезопасности, связанного с правительством.

  • В организации заявили, что количество публичных исследовательских отчетов о таких группах увеличилось почти на 360% за год в 2018 году.
  • В то время как Bitter атакует Китай, китайские государственные хакеры рассматривают ЮВА. APT40 особенно успешно атакует страны, важные для спорной китайской инициативы «Пояса и пути», демонстрируя повышенный интерес к странам ЮВА.