Китайские хакеры замели следы за несколько дней до обнаружения

Китайские хакеры замели следы за несколько дней до обнаружения 3

В прошлом месяце специалисты компании FireEye заявили, что сразу две хак-группы используют уязвимость нулевого дня в Pulse Secure VPN для атак на сети американских оборонных подрядчиков и правительственных организаций по всему миру.

По данным FireEye, взломы начались еще в августе 2020 года, когда первая хак-группа, которую компания отслеживает как UNC2630, нацелилась на оборонных подрядчиков США и европейские организации. По мнению аналитиков, эти хакеры «действуют от имени правительства Китая и могут иметь связи с APT5», то есть с другой известной китайской кибершпионской группировкой.

В октябре 2020 года к атакам присоединилась вторая группа хакеров, которой FireEye присвоила идентификатор UNC2717, однако о ней специалистам не было известно практически ничего.

В обоих случаях злоумышленники устанавливали на уязвимые устройства веб-шеллы, а затем использовали их для перехода во внутренние сети жертв, откуда похищали учетные данные, письма и конфиденциальные документы.

Теперь в новом отчете FireEye пишет, что дальнейшее изучение этих атак помогло обнаружить нечто странное: по крайней мере одна из групп, участвовавших в инцидентах, начала удалять свою малварь из зараженных сетей за три дня до раскрытия.

«В период с 17 по 20 апреля 2021 года специалисты Mandiant наблюдали, как UNC2630 получает доступ к десяткам взломанных устройств и удаляет веб-шеллы, такие как ATRIUM и SLIGHTPULSE», — пишут аналитики.

Действия злоумышленников выглядят подозрительно и вызывают вопросы, к примеру, не могли ли хакеры знать об интересе со стороны FireEye. Конечно, удаление малвари могло оказаться простым совпадением, однако если участникам UNC2630 было известно о том, что FireEye исследует некоторые из взломанных ими сетей, выходит, что хакеры сознательно отступили и удалили улики, чтобы защитить от исследователей другие операции.

Читайте также:   Познер, гражданин сразу шести государств, в том числе США и Израиля, довёл-таки грузин до истерики

Также FireEye сообщает, что обнаружила новые подробности этой хакерской кампании. Так, эксперты нашли четыре дополнительных штамма малвари (помимо 12 описанных ранее).

Китайские хакеры замели следы за несколько дней до обнаружения 4

Кроме того, FireEye продолжает работать над выявлением взломанных устройств и их владельцев, совместно с разработчиками Pulse Secure. Эта работа позволила аналитикам узнать больше о целях злоумышленников. Так, согласно новым данным, большинство жертв — это организации, базирующиеся в США (прочие находятся в странах Европы). Хотя ранее считалось, что атаки были нацелены на оборонных подрядчиков и правительственные организации, теперь стало ясно, что злоумышленники также атаковали компании, работающие в сферах телекоммуникации, финансов и транспорта.

Китайские хакеры замели следы за несколько дней до обнаружения 5

Если раньше аналитики FireEye писали, что только UNC2630 может иметь связи с китайским правительством, теперь они уверены, что обе группировки занимаются кибершпионажем и «поддерживают ключевые приоритеты правительства Китая».

Источник

Автор публикации

не в сети 22 часа

Андрей Маргулис

456
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
30 лет
День рождения: 14 Мая 1991
Комментарии: 531Публикации: 2016Регистрация: 12-12-2015
РЭНБИ
Добавить комментарий
Войти с помощью: 
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля