Symantec выявила крупную группу китайских хакеров

Александр Панасенко 18 Сентября 2013 - 12:41

...

Компания Symantec сегодня сообщила о разоблачении группы хакеров, связанной с проведением некоторых и хорошо известных кампаний кибератак из Китая. В Symantec говорят, что выявленная китайская группа хакеров под условным названием Hidden Lynx является одной из самых технически продвинутых из нескольких десятков похожих групп, ответственных за операции кибершпионажа из Китая.

Отметим, что в отличие от других американских отчетов, Symantec в своих материалах ни слова не говорит о том, что эта группа хакеров как-то связана с правительством Китая или действует под его крылом.

28-страничный отчет исследователей указывает на то, что именно Hidden Lynx стояла за организацией громкой кампании кибершпионажа Operation Aurora в 2009 году. Эта атака была направлена против многих американских крупных компаний, обладающих стратегическим влиянием или каким-то перспективными разработками. В рамках Operation Aurora были атакованы компании Google, Adobe и другие. Google сама сообщала об атаке в январе 2010 года, когда заявила, о непрекращающихся китайских атаках на Gmail. Тогдашние атаки имели своей целью получение информации у китайских оппозиционных активистов, а также борцов за права человека, кроме того хакеры пытались выкрать исходники некоторых продуктов Google и Adobe, пишет cybersecurity.ru.

ИТ-специалист Symantec Лайям О'Мирчу говорит, что Symantec не удалось выявить конкретные персоналии, стоящие за Hidden Lynx, равно как и степень связи этой группы с властями КНР.

В другом исследовании, американская компания Mandiant заявила о существовании специализированного киберкрыла в структуре Минобороны Китая, где как раз и работают подобные группы хакеров, занимающиеся промышленным ИТ-шпионажем, а также написанием кастомизированных программных кодов.

Symantec также связывает Hidden Lynx с другой крупной кампанией - Voho, которая была раскрыта в прошлом году. Она была проведена в отношении компании RSA, занимающейся поставкой криптографических решений. Тогда же в рамках Voho хакерским атакам подверглись сотни организаций, в том числе финансовые компании, технологические и поставщики решения для здравоохранения. Помимо этого, Symantec сообщает, что Hidden Lynx - это структура из 50-100 человек, имеющих очень мощное финансирование, технические средства и хорошие навыки в написании программного обеспечения. В этой же группе были разработаны троянцы Naid и Moudoor, применявшиеся для кражи информации.

В Symantec говорят, что группа функционирует и по сей день, наверняка проводя и другие кампании или работая над ними для реализации в будущем.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 13:08

Бэкдоры Сетевые черви Трояны Целевые атаки Таргетированные атаки Корпорации Государство

Исследователи нашли кибероружие, нацеленное на инженерный софт

SentinelOne обнаружила необычный зловред, который могли создать для саботажа инженерных и физических расчётов. Исследователи считают, что он появился примерно в 2005 году, за несколько лет до Stuxnet, знаменитого червя, атаковавшего иранские центрифуги для обогащения урана.

О находке на конференции Black Hat Asia рассказал исследователь SentinelOne Виталий Камлюк.

По его словам, всё началось с попытки понять, были ли такие известные инструменты кибершпионажа, как Flame, Animal Farm и Project Sauron, первыми в своём роде. Все они использовали Lua и виртуальную машину, поэтому Камлюк решил поискать похожие образцы.

Так исследователи вышли на файл, загруженный в VirusTotal ещё в 2016 году. В нём упоминался идентификатор fast16. При анализе выяснилось, что методы авторов зловреда, совсем не похожи на типичные для 2016 года. Более того, ссылка на fast16 встречалась и в утечке Shadow Brokers, которую позже связывали с Агентством национальной безопасности США.

По оценкам SentinelOne, fast16 мог быть создан примерно в 2005 году. На это указывают особенности кода, а также тот факт, что зловред не работает на системах новее Windows XP и требует одноядерного процессора. Первые многоядерные потребительские процессоры Intel появились в 2006 году.

Исследователи выяснили, что fast16 пытается установить червя и загрузить драйвер fast16.sys. Самое интересное скрывается именно в драйвере: он содержит механизм, который изменяет результаты вычислений с плавающей точкой. Также зловред ищет инструменты точных расчётов, используемые в гражданском строительстве, физике и моделировании физических процессов.

По версии SentinelOne, целью fast16 могли быть три инженерные и симуляционные платформы, популярные в середине 2000-х: LS-DYNA 970, PKPM и гидродинамическая платформа MOHID. Такие решения применяются, например, для краш-тестов, анализа прочности конструкций и экологического моделирования.

Камлюк предположил, что fast16 мог незаметно вносить ошибки в расчёты инженерного софта. В теории это могло привести уже не просто к сбою на компьютере, а к реальным последствиям: ошибкам в проектах, моделях или испытаниях.

В SentinelOne называют fast16 своеобразным предшественником Stuxnet и считают его ранним примером кибероружия, нацеленного не на кражу данных, а на скрытое изменение работы критически важных систем.

Исследователи уже сообщили о находке разработчикам инженерного ПО, которое могло быть целью fast16. По словам Камлюка, поставщикам, возможно, стоит проверить старые результаты расчётов на признаки вмешательства.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!