Китайские хакеры развернули крупную кибероперацию против американских и канадских университетов, нацелившись на их внутренние почтовые серверы. По данным компании по кибербезопасности Proofpoint, под ударом оказались физические и инженерные факультеты, которые ведут важные научные исследования. Хакеры используют скрытые уязвимости, чтобы взломать почту профессоров и администраторов, занимающихся вопросами национальной безопасности, астрофизики и физики элементов. Источник: Itbrief
Предполагаемая шпионская сеть из Китая получила кодовое имя UNK_MassTraction и отслеживается специалистами с мая. Особенность этой атаки в том, что китайские шпионы атакуют университеты США и Канады не просто ради кражи переписки. Они используют взломанную систему веб-почты Roundcube как лазейку, чтобы проникнуть глубоко в компьютерные сети учебных заведений. Это говорит о новой тактике: вместо обмана конкретных пользователей злоумышленники взламывают сами серверы, которые доступны через интернет и управляют всей перепиской вуза.
Сама атака начинается с того, что на почту сотрудников приходят обычные, нейтральные письма с ранее угнанных аккаунтов. Хакерам нужно лишь, чтобы человек открыл это письмо. В этот момент на компьютере жертвы незаметно запускается вредоносный код, который загружает программу IceCube. Она выходит за рамки почтового ящика и начинает полностью контролировать все, что пользователь делает в браузере.
Программа IceCube собирает логины, пароли, файлы cookie и даже данные двухфакторной аутентификации, после чего отправляет их своим создателям. Затем шпионы пробираются из браузера дальше — на сам сервер университета. Закрепившись там, они устанавливают программы SquareShell или VShell для постоянного доступа. Чтобы остаться незамеченными, хакеры маскируют свои файлы под официальные обновления системы и даже подделывают время их создания, чтобы они не бросались в глаза при проверках.
В ходе этой операции китайские шпионы принимают серьезные меры маскировки. Они стирают историю действий в браузере, проверяют систему на наличие чужих вирусов и используют хитрые отложенные триггеры. Эти триггеры срабатывают, когда пользователь закрывает страницу, переключает вкладки или выходит из системы — в этот момент вредоносная программа пытается атаковать снова, после чего принудительно стирает все свои следы с сервера. В компании Proofpoint добавили, что часть этого хакерского софта, скорее всего, была написана с помощью искусственного интеллекта, так как в коде содержатся подробные аккуратные пояснения. Эксперты называют этот цифровой арсенал очень зрелым и профессиональным.
Аналитики Proofpoint отмечают, что целый ряд признаков указывает на шпионские структуры, связанные с Китаем. Среди этих улик — следы на китайском языке в ранних фишинговых письмах, использование программного обеспечения VShell, которое ранее замечали только в операциях китайских правительственных хакеров, а также совпадение серверов с другими тайными сетями КНР. Сама кампания носит избирательный характер: хакеры заранее искали университеты со старыми версиями почтовых программ. Высшие учебные заведения давно привлекают кибершпионов, поскольку в них открытые внутренние сети сочетаются с передовыми научными проектами и международными военными разработками.
Напомним, ране США обвинили Китай в кампаниях кибершпионажа на телекоммуникационных сетях.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet