26.08.2023 | Хакеры-невидимки: почему китайская Flax Typhoon проникает в системы жертв и больше ничего не делает? |
Компания Microsoft сообщила о новой шпионской операции, проводимой хакерами, связанными с правительством Китая. Целью группы, которую Microsoft назвала Flax Typhoon, являются десятки организаций на Тайване, а сами хакеры активны с середины 2021 года. По словам Microsoft, злоумышленники стремятся не только шпионить за целевыми тайваньскими организациями, но и «поддерживать доступ к организациям в широком спектре отраслей как можно дольше». Основные цели хакеров — правительственные учреждения, а также организации в сфере образования, производства и информационных технологий. Однако жертвы есть и в Юго-Восточной Азии, Северной Америке и Африке. По словам Microsoft, хакеры используют встроенные средства операционной системы и некоторое легитимное ПО, чтобы тихо оставаться в сетях целевых организаций. При этом компания пока не наблюдала дальнейших действий хакеров после получения доступа. Возможно, хакеры Flax Typhoon действуют как брокеры удалённого доступа ( IAB ), задачей которых является лишь получения постоянного скрытного доступа к целевой системе, после чего он продаётся другим киберпреступным объединениям. Как сообщается, рассмотренная вредоносная операция — лишь одна из нескольких, выявленных после того, как Пекин усилил риторику о «воссоединении» Тайваня с материковым Китаем. Некоторые данные свидетельствуют о том, что в деятельности этой группы есть совпадения с деятельностью другого киберпреступного объединения, идентифицированного специалистами Crowdstrike как Ethereal Panda. Microsoft заявила, что решила опубликовать этот последний отчёт из-за «серьёзной озабоченности» по поводу последующего воздействия, которое такие атаки могут оказать на клиентов компании, ведь в рассмотренной операции даже не было видимости других аспектов деятельности злоумышленника. Подобная тактика проникновения без атаки чрезвычайно затрудняет обнаружение и смягчение последствий, а также требует закрытия или изменения учётных данных скомпрометированных учётных записей. Microsoft призвала пострадавшие организации оценить масштабы активности Flax Typhoon в своей сети, удалить вредоносные инструменты и проверить журналы на наличие скомпрометированных учётных записей. А вот других исследователей безопасности компания из Редмонда попросила ознакомиться со своими выводами, чтобы совместными усилиями найти оптимальное защитное решение, обезопасив сотни потенциальных жертв. |
Проверить безопасность сайта