06.05.2022 | Китайская группировка Naikon вернулась |
Согласно исследованию аналитика по кибербезопасности Cluster25, появление в последние недели хакерской группы Naikon (Lotus Panda) является очередным доказательством консолидации цифровых сил Китая против Запада. Предположительно возникшая в Китае в 2010 году группа кибершпионов сосредоточила свое внимание на странах Таиланд, Малайзия и Сингапур. По данным Cluster25, команда Naikon стала известна в после обнаружения её вредоносной программы в 2015 году и ареста одного из ключевых участников. Два года назад была обнаружена деятельность группы против Австралии и азиатских стран, включая Индонезию и Филиппины. По предположениям эксперта Cluster25, Naikon шпионит за правительственными учреждениями и государственными предприятиями в странах Юго-Восточной Азии. Целевые организации занимаются наукой, технологиями и иностранными делами. «Наблюдая за хакерским арсеналом Naikon, был сделан вывод о способности команды проводить долгосрочный шпионаж с целью проведения атак на иностранные правительства и должностных лиц», - говорится в сообщении. «Чтобы избежать обнаружения и максимизировать результат, группа со временем изменила тактику, методы и процедуры (tactics, techniques and procedures, TTPs) и инструменты», - добавил исследователь. В прошлом году на почту целевых организаций были отправлены фишинговые электронные письма, запустившие код оболочки для захвата компьютера жертвы. «Цель этой атаки в настоящее время неизвестна, но с высокой вероятностью, учитывая предыдущую историю нападения группы, это может быть правительственное учреждение из страны Южной Азии», - говорится в сообщении аналитика. Электронное письмо-приманка было написано на китайском языке в виде ответа на организацию тендера на закупку защитного оборудования брандмауэра. Naikon также использовал программные средства Viper и Asset Reconnaissance Lighthouse (ARL) с открытым исходным кодом, разработанные предположительно китайским программистом. Такой вывод сделан, учитывая китайский язык вспомогательной документации. «Viper превращает в оружие тактику и технологии, используемые в процессе проникновения в интранет», - сказал Cluster25. «Инструмент ARL помогает группам безопасности и пентестерам в разведке и поиске активов, обнаружении существующих слабых мест и поверхностей атаки», - добавил эксперт. Инструменты могут использоваться для создания полезных нагрузок и сбора информации с помощью цифрового отпечатка (website fingerprint). Также недавно была выявлена новая китайская кибершпионская группировка Moshen Dragon после атаки телеком-провайдеров. |
Проверить безопасность сайта