Китайская APT-группа, предположительно ответственная за целевые атаки против иностранных правительств, ныне обратила взоры вглубь страны, нацелившись на административный район Гонконг.

Августовские атаки против нескольких медиакомпаний Гонконга были проведены вскоре после возникновения конфликтной ситуации в престижном гонконгском университете. Яблоком раздора послужила отсрочка назначения на руководящую должность профессора, известного продемократическими взглядами.

Это далеко не первые атаки китайских хакеров на местные СМИ; в Гонконге они тоже не внове. Авторы таких атак в основном пытаются отследить источники журналистов и упредить появление определенных новостей. Так, в январе 2013 года эксперты Mandiant отчитались о расследовании целевой атаки на New York Times, возложив ответственность на хакеров, предположительно связанных с официальным Китаем. Взломщиков особо интересовала переписка журналистов, обвинивших в коррупции Вэня Цзябао, на тот момент премьера госсовета КНР.

Кибергруппа, атаковавшая гонконгские СМИ, известна в ИБ-кругах под кодовым именем admin@338; ее особо интересуют правительственные структуры и финансовые организации, занимающиеся вопросами глобальной экономической политики. Основное оружие admin@338 — RAT-троянцы, в частности Poison Ivy.

Недавние гонконгские атаки, по свидетельству FireEye, — один из первых случаев, когда admin@338 использовала фишинговые письма, оформленные на китайском языке. В ходе spear-phishing-атак на новостные издания, сайты теле- и радиовещания были зафиксированы три варианта вредоносных вложений; все они содержали эксплойт для CVE-2012-0158 — уязвимости переполнения буфера в Windows Common Control Library, пропатченной в начале 2012 года.

В результате отработки эксплойта на машину жертвы загружался бэкдор Lowball, который при запуске соединялся с аккаунтом на Dropbox, созданным атакующими. По словам Нарта Вильнёва (Nart Villeneuve), ведущего вирусного аналитика FireEye, этот первичный зловред выполняет ряд команд на зараженном компьютере и отправляет разведданные на хозяйский аккаунт.

«Атакующие просматривают эту информацию и определяют ценность мишени, — комментирует исследователь. — Если цель представляет интерес, они загружают на Dropbox-аккаунт исполняемый файл, который при следующем визите со скомпрометированного узла будет скачан и установит хорошо известный бэкдор, обеспечивающий доступ в реальном времени». Второй бэкдор в FireEye называют Bubblewrap.

По мнению Вильнёва, использование в APT-атаках облачных сервисов вроде Dropbox — это нарождающийся тренд. «Атакующие используют Dropbox, так как это позволяет им скрыть свои действия, — поясняет эксперт. — Просмотр трафика обнаружит лишь шифрованные соединения с Dropbox, никак не ассоциирующиеся с известными зловредами».

FireEye поделилась своими находками с Dropbox; дальнейшее расследование обнаружило еще одну, отдельную кибератаку, автором которой тоже может являться admin@338. «[Силами Dropbox] обнаружена другая вредоносная кампания, использующая практически такого же зловреда, однако масштабы атаки в данном случае больше, около 50 целей, — свидетельствует Вильнёв, уточняя, что данная APT-кампания еще актуальна. — Мы почти уверены, что обе кампании взаимосвязаны, но прямых доказательств у нас нет. Просто вторая тоже использует множественные аккаунты Dropbox, хотя мишеней несколько больше».

Категории: Аналитика, Вредоносные программы, Хакеры