Неизвестная кибергруппировка, которая, вероятно, имеет связи с китаеязычными хакерскими объединениями, в 2024 году начала активно атаковать тайваньских производителей дронов. По данным компании Trend Micro, угроза отслеживается под именем TIDRONE, а её основная цель – промышленный шпионаж, направленный на цепочки поставок военной техники.
Точный способ проникновения в системы компаний пока не установлен, однако исследователи выявили использование вредоносных программ CXCLNT и CLNTEND. Обе распространяются через инструменты для удалённого управления рабочими столами, такие, как UltraVNC, и прочие.
Общим признаком среди всех жертв стало наличие одного и того же программного обеспечения для управления ресурсами предприятия (ERP), что наводит на мысль о возможной атаке на цепочку поставок.
Кибератаки в рамках операции TIDRONE обычно происходят в три этапа, направленных на:
- повышение привилегий через обход контроля учётных записей (UAC);
- получение данных учётных записей;
- отключение антивирусов на заражённых устройствах.
Запуск вредоносных программ осуществляется через подгрузку вредоносной DLL-библиотеки с помощью приложения Microsoft Word, что даёт злоумышленникам доступ к конфиденциальной информации.
CXCLNT способен загружать и скачивать файлы, стирать следы своей деятельности, собирать информацию о системе и запускать последующие этапы атаки. В свою очередь, CLNTEND, впервые обнаруженный в апреле 2024 года, обладает более широкими возможностями и поддерживает несколько сетевых протоколов, включая TCP, HTTP, HTTPS и SMB.
Исследователи Пьер Ли и Вики Су из Trend Micro отмечают, что совпадение времени компиляции файлов и время активности кибергруппы с предыдущими случаями шпионажа подтверждает их связь с определёнными китаеязычными хакерскими группировками.
Этот инцидент подчёркивает уязвимость цепочек поставок, особенно в секторах, связанных с военной техникой.