Хакеры-невидимки: почему китайская Flax Typhoon проникает в системы жертв и больше ничего не делает?

Компания Microsoft сообщила о новой шпионской операции, проводимой хакерами, связанными с правительством Китая. Целью группы, которую Microsoft назвала Flax Typhoon, являются десятки организаций на Тайване, а сами хакеры активны с середины 2021 года.

По словам Microsoft, злоумышленники стремятся не только шпионить за целевыми тайваньскими организациями, но и «поддерживать доступ к организациям в широком спектре отраслей как можно дольше».

Основные цели хакеров — правительственные учреждения, а также организации в сфере образования, производства и информационных технологий. Однако жертвы есть и в Юго-Восточной Азии, Северной Америке и Африке.

По словам Microsoft, хакеры используют встроенные средства операционной системы и некоторое легитимное ПО, чтобы тихо оставаться в сетях целевых организаций. При этом компания пока не наблюдала дальнейших действий хакеров после получения доступа.

Возможно, хакеры Flax Typhoon действуют как брокеры удалённого доступа ( IAB ), задачей которых является лишь получения постоянного скрытного доступа к целевой системе, после чего он продаётся другим киберпреступным объединениям.

Как сообщается, рассмотренная вредоносная операция — лишь одна из нескольких, выявленных после того, как Пекин усилил риторику о «воссоединении» Тайваня с материковым Китаем.

Некоторые данные свидетельствуют о том, что в деятельности этой группы есть совпадения с деятельностью другого киберпреступного объединения, идентифицированного специалистами Crowdstrike как Ethereal Panda.

Microsoft заявила, что решила опубликовать этот последний отчёт из-за «серьёзной озабоченности» по поводу последующего воздействия, которое такие атаки могут оказать на клиентов компании, ведь в рассмотренной операции даже не было видимости других аспектов деятельности злоумышленника.

Подобная тактика проникновения без атаки чрезвычайно затрудняет обнаружение и смягчение последствий, а также требует закрытия или изменения учётных данных скомпрометированных учётных записей.

Microsoft призвала пострадавшие организации оценить масштабы активности Flax Typhoon в своей сети, удалить вредоносные инструменты и проверить журналы на наличие скомпрометированных учётных записей.

А вот других исследователей безопасности компания из Редмонда попросила ознакомиться со своими выводами, чтобы совместными усилиями найти оптимальное защитное решение, обезопасив сотни потенциальных жертв.