Исследовательская группа Symantec’s Threat Hunter Team сообщила о команде , получившей название “Redfly”. Эта команда внедрилась в национальную энергосеть неуказанной азиатской страны с использованием трояна ShadowPad. Злоумышленники украли учетные данные, установили дополнительные вредоносные программы и зашли на многие системы в зараженной сети, сохраняя доступ в течение шести месяцев.
Да тех кто не вкурсе: ShadowPad – это вредоносное ПО для Windows, которое, как предполагается, было использовано Китайскими хакерами для атаки на энергосеть Индии возле границы с Китаем в прошлом году.
Symantec не указывал путь вторжения в этой последней атаке, утверждая лишь, что все началось с одного зараженного компьютера. В процессе вторжения ShadowPad притворялся файлами и директориями программы VMware, чтобы скрыть свое присутствие. После этого были загружены дополнительные инструменты, включая кейлоггер.
По словам Symantec, в атаке использовался вариант ShadowPad, который имел прямое отношение к атаке на Индию: он использовал один и тот же сервер удаленного управления. Несмотря на то, что окончательные выводы еще не сделаны, аналитик из Symantec’s Threat Hunter Team, Дик О’Брайен, подтвердил, что использовалась одна и та же инфраструктура.
Сама команда Redfly, предположительно, ориентирована на атаки государственного масштаба, пренебрегая коммерческими целями в пользу объектов с высокой разведывательной ценностью.
Несмотря на то, что атака Redfly не привела к каким-либо нарушениям, Symantec подчеркивает, что это не единственный случай несанкционированного доступа к критически важным объектам национальной инфраструктуры.
Исследовательская группа предупредила о росте частоты таких атак на объекты национальной инфраструктуры за последний год, выразив обеспокоенность по этому поводу.
Дик О’Брайен также отметил, что по данным Microsoft, атаки, проведенные китайской группой Volt Typhoon , были более разнообразными и не ограничивались только энергосетями.