ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В среду Google сообщила, что совместно с партнерами по отрасли пресекла деятельность подозреваемой в связях с Китаем кибершпионской группы UNC2814, которая взломала системы по меньшей мере 53 организаций в 42 странах.

«Этот плодовитый и неуловимый злоумышленник имеет долгую историю атак на международные правительства и глобальные телекоммуникационные организации в Африке, Азии и Америке», — говорится в отчете, опубликованном сегодня Google Threat Intelligence Group (GTIG) и Mandiant.

UNC2814 также подозревается в причастности к дополнительным инфицированиям в более чем 20 других странах. Технологический гигант, который отслеживает этого злоумышленника с 2017 года, заметил, что он использует API-вызовы для связи с приложениями SaaS (software-as-a-service) в качестве инфраструктуры управления и контроля (C2). По его мнению, цель состоит в том, чтобы замаскировать вредоносный трафик под безобидный.

Центральным элементом деятельности хакерской группы является новый бэкдор под названием GRIDTIDE, который злоупотребляет API Google Sheets в качестве канала связи для маскировки трафика C2 и облегчения передачи необработанных данных и команд оболочки. Это вредоносное ПО на языке C, которое поддерживает загрузку/скачивание файлов и выполнение произвольных команд оболочки.

Точно как UNC2814 получает первоначальный доступ, остается предметом расследования, но, как говорят, группа имеет опыт эксплуатации и взлома веб-серверов и пограничных систем.

Атаки, организованные злоумышленниками, использовали служебную учетную запись для перемещения по среде через SSH. Также используются бинарные файлы living-off-the-land (LotL) для проведения разведки, повышения привилегий и настройки постоянного присутствия бэкдора.

«Для обеспечения постоянства злоумышленник создал службу для вредоносного ПО в /etc/systemd/system/xapt.service, и после ее включения новый экземпляр вредоносного ПО был запущен из /usr/sbin/xapt», — поясняет Google.

Еще одним примечательным аспектом является развертывание SoftEther VPN Bridge для установления исходящего зашифрованного соединения с внешним IP-адресом. Здесь стоит упомянуть, что злоупотребление SoftEther VPN было связано с несколькими китайскими хакерскими группами.

Есть доказательства, указывающие на то, что GRIDTIDE устанавливается на конечных устройствах, содержащих личную информацию (PII), что соответствует деятельности по кибершпионажу, направленной на мониторинг лиц, представляющих интерес. Однако Google отметила, что в ходе кампании не наблюдалось никакой утечки данных.

Механизм C2 GRIDTIDE включает в себя механизм опроса на основе ячеек, в котором определенным ячейкам таблицы присваиваются конкретные роли для обеспечения двунаправленной связи —

A1 — для опроса команд злоумышленника и перезаписи их ответом о статусе (например, S-C-R или Server-Command-Success)

A2-An — для передачи данных, таких как вывод команд и файлы

V1 — для хранения системных данных с конечной точки жертвы

В рамках этой акции Google заявила, что прекратила все проекты Google Cloud, контролируемые злоумышленником, отключила всю известную инфраструктуру UNC2814 и перекрыла доступ к контролируемым злоумышленником учетным записям и вызовам API Google Sheets, которые использовались злоумышленником для целей управления и контроля (C2).

Технологический гигант охарактеризовал UNC2814 как одну из «наиболее далеко идущих и влиятельных кампаний», с которыми он сталкивался в последние годы, добавив, что направил официальные уведомления жертвам каждой из целей и активно поддерживает организации, у которых подтверждены угрозы, связанные с этой угрозой.

Последнее открытие является одним из многих одновременных усилий китайских государственных групп по внедрению в сети для получения долгосрочного доступа. Это событие также подчеркивает, что сетевые границы по-прежнему несут на себе основную нагрузку попыток эксплуатации в Интернете, причем злоумышленники часто используют уязвимости и неправильные настройки в таких устройствах в качестве общей точки входа в корпоративные сети.

В последние годы эти устройства стали привлекательной целью, поскольку они, как правило, не имеют средств обнаружения вредоносного ПО на конечных точках, но при этом обеспечивают прямой доступ к сети или являются точками опоры для внутренних служб в случае взлома.

«Глобальный масштаб деятельности UNC2814, о котором свидетельствуют подтвержденные или предполагаемые операции в более чем 70 странах, подчеркивает серьезную угрозу, с которой сталкиваются телекоммуникационный и государственный секторы, а также способность этих вторжений уклоняться от обнаружения защитниками», — заявила Google.

«Масштабные вторжения такого уровня, как правило, являются результатом многолетних целенаправленных усилий и не могут быть легко восстановлены. Мы ожидаем, что UNC2814 приложит все усилия, чтобы восстановить свое глобальное присутствие».