Хакеры атаковали правительственные учреждения Китая

Китайские агентства и дипломатические представительства стали мишенью для хакеров, использующих серверы виртуальных частных сетей (VPN) в рамках скоординированной кампании кибершпионажа

Китайские агентства и дипломатические представительства стали мишенью для хакеров, использующих серверы виртуальных частных сетей (VPN) в рамках скоординированной кампании кибершпионажа, в то время как многие правительства и организации стали уязвимы к нарушениям безопасности в связи с удаленной работой в условиях пандемии.

Согласно докладу Qihoo 360, хакерским атакам подверглись как китайские ведомства, так и дипломатические представительства в таких странах, как Италия, Великобритания, Северная Корея и Таиланд. В докладе говорится, что к атакам причастна базирующаяся в Восточной Азии хакерская группа DarkHotel.

Эта группа также подозревается в кибератаках против Всемирной организации здравоохранения (ВОЗ), поскольку официальные лица и эксперты по кибербезопасности предупреждают, что хакеры всех мастей стремятся извлечь выгоду из международной обеспокоенности по поводу распространения коронавируса, говорится в докладе агентства Reuters.

По словам специалистов из Qihoo 360, преступники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN для получения удаленного доступа к корпоративным и государственным сетям.

"С марта этого года было взломано более 200 VPN-серверов, и многие китайские учреждения за рубежом подверглись атаке. В начале апреля атака распространилась на правительственные учреждения в Пекине и Шанхае", — говорится в докладе Qihoo 360, крупнейшего китайского поставщика антивирусов.

Эксперты обнаружили, что 174 сервера были расположены в сетях китайских дипломатических представительств, действующих  в таких странах, как Италия, Великобритания, Пакистан, Киргизия, Индонезия, Таиланд, ОАЭ, Армения, Северная Корея, Израиль, Вьетнам, Турция, Малайзия, Иран, Эфиопия, Таджикистан, Афганистан, Саудовская Аравия и Индия.

Пресс-секретарь министерства иностранных дел Китая заявил, что у него нет никакой информации относительно этих атак. ВОЗ не ответила сразу на запрос о предоставлении комментариев.

Атаки происходят в то время, когда многие правительства и корпорации просят сотрудников работать на дому, чтобы предотвратить распространение нового коронавируса. "Особенно в этой глобальной борьбе с пандемией коронавируса, VPN играет незаменимую и важную роль в организации удаленной коммуникации предприятий и государственных учреждений", — пишут специалисты Qihoo 360. "После того, как VPN попадают под контроль злоумышленников, внутренние активы многих предприятий и учреждений попадут в общественные сети, а потери будут неизмеримыми".

DarkHotel представляет собой группу элитных хакеров, которые проводят операции кибершпионажа, по крайней мере, с 2007 года. Фирмы, занимающиеся вопросами кибербезопасности, отследили многие операции DarkHotel в Восточной Азии, целью которых были государственные служащие и руководители компаний в таких странах, как Китай, Северная Корея, Япония и США.

В докладе Qihoo 360 говорится, что группа могла напасть на китайские учреждения с целью получения информации, связанной с пандемией.

"Пока мы не видим подтверждения от третьей стороны. Это должно произойти в течение ближайших нескольких дней", — прокомментировал Марк Вебб-Джонсон, соучредитель и главный технический директор Network Box поставщика услуг безопасности. "На данный момент, это мнение одной компании. Тем не менее, я не вижу никаких доказательств, которые бы оспаривали ее достоверность".

По словам исследователя антивирусной компании «Лаборатория Каперского» Брайана Бартоломью, отчет Qihoo 360 полон домыслов, а потому нужны больше данных, подтверждающих выдвинутые гипотезы.

Использовав уязвимость в VPN от SangFor Technologies, злоумышленники заменили файл SangforUD.exe на зараженную версию. Данный файл представляет собой обновление для настольного приложения Sangfor VPN, которое сотрудники устанавливают на свои компьютеры для подключения к серверам Sangfor VPN. Когда работники подключались к взломанным серверам Sangfor VPN, им предоставлялось автоматическое обновление для их настольного клиента, содержащее вредоносный файл, который позже устанавливал на устройствах бэкдор.

Во вторник SangFor, расположенная в Шэньчжэне, подтвердила факт компрометации и выпустила необходимое исправление. Компания также планирует выпустить скрипт для обнаружения взлома VPN-серверов преступниками и инструмент для удаления файлов, развернутых DarkHotel.

"Мы приносим свои искренние извинения за то, что бэкдоры в системе безопасности были обнаружены", — говорится в сообщении SangFor. "Компания запустила всесторонний обзор существующих продуктов и будет проводить более строгие верификационные тесты".