Китайские кибершпионы атакуют российские госструктуры

Китайские кибершпионы атакуют российские госструктуры

Специалисты компаний Positive Technologies и «Лаборатория Касперского» выследили киберпреступную группировку, ведущую деятельность, предположительно, из Китая. По словам экспертов в области кибербезопасности, эта группа на протяжении нескольких лет атаковала более 20 российских компаний и государственных структур.

Операции китайской группы киберпреступников напоминают действия правительственных киберразведчиков, которые занимаются шпионажем и политической разведкой. В своих атаках злоумышленники используют планировщик задач, встроенный в операционную систему.

В Positive Technologies отметили, что APT-группа, получившая имя TaskMasters, действует на протяжении по меньшей мере девяти лет, за которые преступникам удалось атаковать более 30 организаций в сферах промышленности, строительства, энергетики и недвижимости.

Подчеркивается, что из этих 30 значимых организаций 24 находятся в России. В беседе с «Ъ» представители Positive Technologies отказались раскрыть названия атакованных организаций.

На мысль о том, что данные киберпреступники действуют из Китая, исследователей натолкнул факт упоминания китайских разработчиков в коде инструментов, используемых злоумышленниками.

Также в ходе их атак были зафиксированы подключения с IP-адресов из Китая, а на китайских форумах можно найти ключи для некоторых версий используемых программ.

Киберпреступники из TaskMasters грамотно подошли к процессу использования встроенного в ОС планировщика задач, который позволяет запускать ту или иную программу в определенное время.

Помимо этого, проникая в сеть организации, китайские киберпреступники исследуют инфраструктуру в поисках известных уязвимостей, а затем загружают на скомпрометированные узлы вредоносные программы, которые впоследствии используются для шпионской деятельности.

«Лаборатория Касперского» придумала свое кодовое имя для китайских кибершпионов — BlueTraveler. По словам антивирусных экспертов, активность BlueTraveler они отслеживают с 2016 года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Веб-интерфейс умных ванн Jacuzzi сливал ПДн всех любителей гидромассажа

Независимый исследователь выявил в веб-интерфейсе SmartTub уязвимости, позволяющие просматривать и редактировать данные клиентов Jacuzzi. Автор атаки также потенциально мог подстроить каверзу любому владельцу гидромассажной ванны или спа-бассейна — наполнить их кипятком, изменить цикл фильтрации и т. п.

Система SmartTub, как и другие IoT-сервисы, позволяет управлять умной ванной с помощью Android- или iOS-приложения — дистанционно включать и выключать форсунки, менять подсветку, контролировать температуру воды. В каталоге Google Play за SmartTub числится более 10 тыс. загрузок.

Белый хакер Итон Звир (Eaton Zveare) обнаружил возможность получения доступа к бэкенду SmartTub, когда занялся настройкой своей только что прибывшей умной джакузи. Создав аккаунт с помощью мобильного приложения, он получил подтверждение с сайта smarttub.io; как оказалось, регистрация на нем осуществляется через Auth0.

При попытке входа сайт выдал сообщение об ошибке 401 (Unauthorized — отказ в доступе), но перед этим на экране быстро промелькнули заголовок и таблица. Заинтересовавшись, Звир применил запись экрана и к своему удивлению обнаружил, что это панель администратора, заполненная пользовательскими данными.

 

Как оказалось, консоль реализована как одностраничное приложение на основе JavaScript-библиотеки React, и к ней можно получить полный доступ. Обойти ограничения, выдав себя за админа, исследователю помог Fiddler — инструмент тестирования, позволяющий перехватывать и анализировать трафик между клиентом и сервером.

В итоге ему удалось добраться до информации об установленных по всему миру IoT-устройствах Jacuzzi и их пользователях (в последнем случае список включал только имена и email). Подобная возможность, по словам Звира, позволяет также редактировать аккаунты и лишать владельцев права собственности.

При просмотре APK-файла приложения Android хакер обнаружил ссылку на другую админ-панель. Попытка входа под своими идентификаторами и здесь вернула ошибку, но хакер вновь преодолел преграду путем подмены JavaScript-кода, так как эта консоль тоже использует React.

Кроме тех же пользовательских данных, здесь можно было просмотреть и изменить сроки подписки, производственные логи, списки дилеров и зарегистрированных мобильных устройств (без номеров телефона).

 

О неприятных находках Звир сообщил в Jacuzzi и в ответ получил запрос на более детальное описание проблем. Дальнейшие попытки добиться исправления ситуации результата не дали; разработчик упорно игнорировал письма и DM в Твиттере, поэтому баг-хантер решил заручиться поддержкой Auth0.

Поставщику услуг авторизации далеко не сразу удалось достучаться до Jacuzzi, но в итоге искомый эффект был достигнут — спустя полгода. Одну из админ-панелей SmartTub отключили, а другую по-тихому пофиксили.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru