Специалисты по кибербезопасности ProtectWise изучили деятельность китайских APT-группировок, за которыми, скорее всего, стоит киберразведка страны. Преступники более 10 лет атаковали игровые и IT-компании по всему миру и похищали сертификаты для подписи кода. С помощью этих сертификатов злоумышленники выдавали вредоносное программное обеспечение за легитимное.

Преступников обнаружили во время очередной крупной атаки, состоявшейся 20–28 марта 2018 года и нацеленной на корпоративные аккаунты Gmail и Office 365. Взломщики допустили несколько ошибок: например, они воспользовались сервисом коротких ссылок goo.gl, позволив специалистам ProtectWise отследить, кто переходил по оставляемым злоумышленниками следам. Кроме того, в нескольких случаях преступники атаковали жертву с реальных IP-адресов, которые удалось связать с China Unicom Beijing Network из провинции Сичэн. По мнению исследователей, это говорит о связи взломщиков с киберразведкой Китая.

Представители ProtectWise заявили, что речь идет о деятельности нескольких связанных между собой групп злоумышленников, то есть о целом преступном сообществе. Организация, которая стоит за нападениями и похищениями сертификатов, получила название Winnti Umbrella. Аналитик по безопасности, известный под ником The Grugq, написал в Twitter, что имеет место своеобразное разделение труда, когда одна из кибергруппировок работает в сфере материально-технического обеспечения и поддержки, а остальные находятся на «передовой».

Благодаря допущенным злоумышленниками ошибкам экспертам ProtectWise удалось изучить их тактику и методы. Полученная в ходе расследования информация указывает на то, что китайская разведка занимается кибервзломами по всему миру минимум с 2009 года. Из других источников известно и о более ранних нападениях Winnti Umbrella — начиная с 2007-го. Например, в 2010 году APT-группировка успешно атаковала 35 компаний, в том числе Google, а в 2013-м их бэкдор попал в инфраструктуру более 30 разработчиков игр.

По словам Тома Гегеля (Tom Hegel), старшего исследователя угроз ProtectWise, злоумышленники из Winnti Umbrella в основном крадут сертификаты у небольших организаций, после чего используют их для атак на приоритетные и более «дорогие» цели, которые сложно взломать другими методами. Дело в том, что маленькие компании нередко хранят коды доступа в локальной сети без должной защиты. В итоге вредоносные программы, маркированные чужими легитимными сертификатами, свободно проникают на компьютеры жертв, что подрывает доверие пользователей к подписанному ПО.

По мнению экспертов, основной целью атак китайской киберразведки являются не столько игровые студии и другие корпорации, сколько политики, журналисты, правительственные чиновники и организации из Тибета, Китая, Таиланда, других регионов и стран. Так, по коротким goo.gl-ссылкам мартовской атаки удалось отследить 29 кликов (жертв нападения) из Японии, 15 — из Соединенных Штатов и по несколько — из Индии и России.

Сертификаты для киберпреступников — лакомый кусочек: они защищают зловреды от антивирусных программ. В 2015 году взломщики скомпрометировали цифровую подпись китайской компании Foxconn и производителя ноутбуков Acer. А осенью прошлого года специалисты по кибербезопасности Мэрилендского университета обнаружили 72 фальшивых сертификата, которые, по их мнению, применялись для установки вредоносного ПО.

Категории: Аналитика, Главное, Хакеры