Число атак китайских хакеров на российский ВПК выросло в 2,5 раза

Число атак китайских хакеров на российский ВПК выросло в 2,5 раза

Число атак китайских хакеров на российский ВПК выросло в 2,5 раза

Число хакерских атак из Китая на российские объекты в сфере обороны, ядерной энергетики и авиации увеличилось за первые семь месяцев 2016 года более чем в два с половиной раза – почти до двухсот, рассказал агентству Блумберг эксперт "Лаборатории Касперского" Александр Гостев.

За весь 2015 год были зафиксированы только 72 атаки, отметил специалист. Коллеги российского эксперта из калифорнийской компании Proofpoint также отмечают рост интереса китайских киберпреступников к России, передает агентство.

По оценкам "Лаборатории Касперского", китайские программы, используемые против России, включают более 50 семейств троянских вирусов, жертвами которых в 2016 году стали 35 компаний и ведомств. Гостев сообщил, что среди них семь оборонных предприятий, специализирующихся на производстве ракет, радаров и навигационных технологий, пять министерств, четыре авиационные компании и две организации из сферы ядерной энергетики, пишет ria.ru.

При этом эксперт полагает, что число нападений может быть намного выше, поскольку только десять процентов корпоративных клиентов "Касперского" делятся данными о хакерских атаках.

"Практически все объекты российского ВПК так или иначе за последние годы становились объектами атак со стороны китайских группировок" и "очевидно" теряли информацию, добавил Гостев.

По словам специалиста, в экспертной среде считают, что кибератаки либо спонсируются, либо одобряются государственными органами Китая, а в некоторых случаях к ним причастны военные хакеры. Гостев отметил при этом огромный объем похищенной информации, которую затем могут анализировать сотни специалистов.

"Они работают как пылесос, скачивая все без разбора. Потом кто-то анализирует похищенные данные", — считает Гостев.

По его мнению, атаки на Россию усилились после того, как лидеры Китая и США подписали в сентябре 2015 года соглашение, пообещав не заниматься экономическим шпионажем. Между тем, Москва и Пекин еще в мае 2015-го подписали документ об информационной безопасности, обязавшись не атаковать друг друга.

Linux-фреймворк DKnife годами следил за трафиком пользователей

Исследователи из Cisco Talos рассказали о ранее неизвестном вредоносном фреймворке под названием DKnife, который как минимум с 2019 года используется в шпионских кампаниях для перехвата и подмены сетевого трафика прямо на уровне сетевых устройств.

Речь идёт не о заражении отдельных компьютеров, а о компрометации маршрутизаторов и других устройств, через которые проходит весь трафик пользователей.

DKnife работает как инструмент постэксплуатации и предназначен для атак формата «атакующий посередине» («adversary-in-the-middle») — когда злоумышленник незаметно встраивается в сетевой обмен и может читать, менять или подсовывать данные по пути к конечному устройству.

Фреймворк написан под Linux и состоит из семи компонентов, которые отвечают за глубокий анализ пакетов, подмену трафика, сбор учётных данных и доставку вредоносных нагрузок.

 

По данным Talos, в коде DKnife обнаружены артефакты на упрощённом китайском языке, а сам инструмент целенаправленно отслеживает и перехватывает трафик китайских сервисов — от почтовых провайдеров и мобильных приложений до медиаплатформ и пользователей WeChat. Исследователи с высокой уверенностью связывают DKnife с APT-группировкой китайского происхождения.

Как именно атакующие получают доступ к сетевому оборудованию, установить не удалось. Однако известно, что DKnife активно взаимодействует с бэкдорами ShadowPad и DarkNimbus, которые уже давно ассоциируются с китайскими кибершпионскими операциями. В некоторых случаях DKnife сначала устанавливал подписанную сертификатом китайской компании версию ShadowPad для Windows, а затем разворачивал DarkNimbus. На Android-устройствах вредоносная нагрузка доставлялась напрямую.

 

После установки DKnife создаёт на маршрутизаторе виртуальный сетевой интерфейс (TAP) и встраивается в локальную сеть, получая возможность перехватывать и переписывать пакеты «на лету». Это позволяет подменять обновления Android-приложений, загружать вредоносные APK-файлы, внедрять зловреды в Windows-бинарники и перехватывать DNS-запросы.

Функциональность фреймворка на этом не заканчивается. DKnife способен собирать учётные данные через расшифровку POP3 и IMAP, подменять страницы для фишинга, а также выборочно нарушать работу защитных решений и в реальном времени отслеживать действия пользователей.

В список попадает использование мессенджеров (включая WeChat и Signal), картографических сервисов, новостных приложений, звонков, сервисов такси и онлайн-покупок. Активность в WeChat анализируется особенно детально — вплоть до голосовых и видеозвонков, переписки, изображений и прочитанных статей.

Все события сначала обрабатываются внутри компонентов DKnife, а затем передаются на командные серверы через HTTP POST-запросы. Поскольку фреймворк размещается прямо на сетевом шлюзе, сбор данных происходит в реальном времени.

RSS: Новости на портале Anti-Malware.ru