Китай арестовал хакеров, ответственных за взлом Службы управления персоналом США

Александр Панасенко 06 Декабря 2015 - 14:31

...

Взлом Службы управления персоналом США (U.S. Office of Personnel Management, OPM) стал одной из наиболее крупных атак уходящего 2015 года. Хакерам тогда удалось похитить полные досье 21 млн госслужащих США.

В список пострадавших попали самые разные люди, в том числе сотрудники разведки и военный персонал, работники ЦРУ, АНБ и военных спецподразделений. Спецслужбы США исходно обвиняли в атаке на OPM китайских хакеров, намекая, что операцию спонсировало правительство Поднебесной. Теперь Китай официально признал, что Кадровое управление США действительно взломали китайцы, пишет xakep.ru.

Достаточно неожиданную новость распространило вчера, 4 декабря 2015 года, китайское агентство новостей «Синьхуа» (Xinhua). Китайская сторона сообщила, что проведенное ими расследование выявило: за взломом Службы управления персоналом действительно стояла группировка местных хакеров. Однако в США напрасно подозревали, что атаку спонсировало и санкционировало правительство Китая. «Синьхуа» пишет, что хакеры были обыкновенными преступниками и не имели никакого отношения к властям.

Оказалось, в сентябре 2015 года в Китае была арестована именно эта, конкретная группа хакеров, ответственная за взлом OPM. Тогда издание Washington Post сообщало, что в Китае, по запросу правоохранительных органов США, арестовали неких киберпреступников. Якобы те похищали секретные данные американских фирм и продавали их китайским компаниям, а некоторые члены группы даже были объявлены американскими правоохранителями в розыск. Теперь «Синьхуа» заявило, что сентябрьские аресты были связаны с атакой на Кадровое управление США. Никаких подробностей о проведенном расследовании и самой атаке агентство новостей, впрочем, не приводит.

Похоже, страны действительно начинают сотрудничать друг с другом на поприще кибербезопасности. Напомню, что незадолго до сентябрьских арестов, Белый дом посетил лидер Китайской Народной Республики Си Цзиньпин. Проведя переговоры, стороны сумели прийти к соглашению. В частности, страны условились не поддерживать кибершпионаж в любых его проявлениях и, если необходимо, сотрудничать для пресечения деятельности хакерских группировок. Для выполнения последней задачи было решено создать экспертную группу, заседания которой будут проходить дважды в год.

Первая встреча по обозначенным в сентябре вопросам как раз состоялась на этой неделе, в Вашингтоне. Представители сторон, в лице генерального прокурора США Лоретты Линч (Loretta Lynch), министра внутренней безопасности Джея Джонсона (Jeh Johnson) и министра общественной безопасности Китая Го Шэнгкуна (Guo Shengkun), составили примерный план по совместной работе в области борьбы с киберпреступностью. Следующее заседание группы запланировано на июль 2016 года и состоится в Пекине. На лето будущего года также были запланированы и совместные киберучения.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!