В "Лаборатории Касперского" заподозрили хакеров из Китая в атаках на сайты госорганов

Москва. 8 августа. INTERFAX.RU - В России, странах Восточной Европы и Афганистане с начала 2022 года была зафиксирована волна целевых атак на оборонные предприятия и сайты госорганов, сообщили в "Лаборатории Касперского". Эксперты компании связали атаки с китайскоязычной кибергруппой TA428.

В рамках этой волны были выявлены атаки на более чем дюжину организаций. Эксперты предполагают, что целью атак был кибершпионаж.

"Атакующим удалось в ряде случаев полностью захватить IT-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма", - говорится в сообщении "Лаборатории Касперского".

В письмах содержалась внутренняя информация, не доступная в публичных источниках на момент ее использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К письмам были прикреплены файлы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882.

"Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление зараженной системой, от пользователя даже не требуется включать выполнение макросов", - рассказали в компании.

Главным инструментом развития атаки хакеры использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей, считают в "Лаборатории Касперского".

"На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах",- сказали в компании.

Там отметили, что эти же серверы использовались для управления вредоносным ПО.

"Целевой фишинг остается одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, - не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем", - предупредил через пресс-службу старший эксперт Kaspersky ICS CERT Вячеслав Копейцев.