Согласно свежему отчёту исследователей Symantec, группы кибершпионажа, связанные с Китаем, причастны к длительной кампании, направленной на взлом нескольких телекоммуникационных операторов в одной из азиатских стран с 2021 года. Компания не уточнила, какая конкретно страна была атакована, но заявила, что вредоносная активность представляла из себя периодическое развёртывание бэкдоров в сетях целевых организаций с последующей кражей учётных данных.
Использованные в кампании инструменты совпадают с теми, что в последние годы применялись китайскими кибершпионскими группами, такими как Mustang Panda, RedFoxtrot и Naikon. Среди этих инструментов – специально разработанные бэкдоры COOLCLIENT, QUICKHEAL и RainyDay, способные захватывать чувствительные данные и устанавливать связь с С2-сервером.
Хотя точный способ начального доступа к целям пока неизвестен, данная вредоносная кампания примечательна использованием инструментов для сканирования портов и кражи учётных данных через выгрузку содержимого реестра Windows. Связь всех этих инструментов с тремя различными киберпреступными группами наводит исследователей на следующие взаимоисключающие предположения:
- атаки проводятся независимо друг от друга;
- один и тот же злоумышленник использует инструменты, приобретённые у разных групп;
- разные группы сотрудничают между собой в рамках одной вредоносной кампании.
На данном этапе также неясна основная цель вторжений, хотя, в целом, китайские группы довольно часто атакуют телекоммуникационный сектор по всему миру. Так, в ноябре 2023 года “Лаборатория Касперского” выявилакампанию с использованием вредоносного ПО ShadowPad, направленную против одной из национальных телекоммуникационных компаний Пакистана путём эксплуатации известных уязвимостей в Microsoft Exchange Server.
Инцидент, рассмотренный Symantec, подчёркивает необходимость постоянной бдительности и совершенствования кибербезопасности в телекоммуникационном секторе. Сложность и продолжительность атак демонстрируют, что современные угрозы требуют не только технических решений, но и международного сотрудничества для противодействия киберпреступности. Важно развивать культуру кибербезопасности, где каждый сотрудник осознает свою роль в защите критической инфраструктуры.