Крупнейший немецкий химико-фармакологический концерн Bayer стал жертвой кибератаки. Компания обнаружила вторжение в свои внутренние сети в начале 2018 года, однако не стала сразу удалять вредоносное ПО. На протяжении года команда по информационной безопасности втайне отслеживала действия трояна и тщательно их анализировала.

Представители Bayer сообщили (нем.), что преступники действовали очень профессионально. Проникнув в сеть, они установили троян, который позволял совершать любые действия в системе. Сотрудники службы безопасности пока не нашли никаких следов кражи данных компании или персональных сведений третьих лиц.

Систему полностью очистили от присутствия зловреда в конце марта этого года. Представители Bayer продолжают оценивать ущерб и пока не раскрывают, с какой целью преступники внедрили троян и каков был масштаб заражения. Многие эксперты сходятся во мнении, что вторжение связано с деятельностью китайской группировки Winnti, которая разработала одноименный троян и ранее применяла его для кражи информации других компаний.

Впервые ее деятельность обнаружили аналитики «Лаборатории Касперского» в 2011 году. Изначально злоумышленники ориентировались на разработчиков онлайн-игр и крали исходные коды и цифровые сертификаты проектов.

От их рук пострадало как минимум 35 компаний в разных странах мира — США, Бразилии, Германии, России, Японии, Китае, Южной Корее. Исследователи полагали, что монетизировать противозаконную деятельность участники Winnti могли несколькими способами, но все они в основном сводились к читерству. Например, они могли нечестным способом накапливать виртуальную валюту, покупать ценные для игроков предметы и перепродавать их за реальные деньги.

Позднее преступники расширили сферу своей деятельности. Как стало ясно в 2015 году, Winnti обратилась к промышленному шпионажу. Год спустя от действий группировки пострадала крупная фармацевтическая компания Thyssenkrupp.

В марте 2018 года специалисты по кибербезопасности из ProtectWise установили, что разработанное Winnti вредоносное ПО стали использовать и другие группировки. Эксперты узнали, что все они связаны с китайской разведкой, и объединили их под общим названием Winnti Umbrella. Выяснилось, что атаки преступников имеют скорее политическую направленность. Их жертвами становились журналисты и активисты из Китая и Тибета, чиновники из Таиланда, а также международные технологические организации.

Тем не менее, преступники не забыли и об индустрии развлечений. Так, в марте 2019 года стало известно, что они установили бэкдор сразу в три программы. Зловред распространялся под видом обновлений. Взломщики внедрили свое ПО в файлы игры Infestation компании Electronics Extreme и еще двух продуктов, названия которых не раскрывались. Позднее журналисты издания ZDNet выяснили, что одной из жертв, скорее всего, стала платформа Garena.

Категории: Вредоносные программы, Главное, Хакеры