Китайских хакеров поймали за взломом водопровода в США

Китайских хакеров поймали за взломом водопровода в США

Китайская группа хакеров APT1 в декабре 2012 года попыталась взломать систему управления одной из насосных станций в США. Хакеры не знали, что сервер на самом деле не имеет никакого отношения к реальной промышленной электронике, а запущен компанией Trend Micro в рамках изучения киберпреступности. Подробности со ссылкой на отчет исследователей приведены в MIT Technology Review.

Хакерская группа APT1 попыталась захватить управление путем пересылки на один из почтовых адресов (тоже якобы принадлежащих сотрудникам станции системы водоснабжения) документа Word со встроенным в него вредоносным скриптом. Определить принадлежность злоумышленников экспертам удалось по используемому скрипту и ряду других признаков.

Важной, но пока не получившей официального подтверждения деталью сообщения об атаке является то, что группа APT1 связывается рядом экспертов (в частности, компанией Mandiant) с китайским армейским спецподразделением. Предыдущие доклады аналитиков содержат указания на то, что атакам этой группы подверглись более 140 организаций по всему миру, а объем незаконно полученной хакерами информации может достигать сотен терабайт, сообщает lenta.ru.

Подставной сервер, который был призван привлечь и разоблачить хакеров, развернула другая компания, Trend Micro. Ее представитель Кайл Уилойт во время выступления на конференции Black Hat в Лас-Вегасе подчеркнул, что вероятность случайной атаки исключена. Хакеры, по словам специалиста, не могли не знать того, за что отвечает (якобы) атакуемый сервер. Он также рассказал о том, что минимум четыре атаки были проведены с использованием специальных знаний: в частности, хакеры использовали специальные протоколы передачи данных, которые применяются исключительно в промышленной электронике.

Сообщения об атаках китайских хакеров на США поступают уже достаточно давно, однако недавно появились сообщения и об аналогичных действиях со стороны США по отношению к Китаю.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru