Говорящие по-китайски хакеры атаковали оборонные предприятия России
В письмах содержалась внутренняя информация, которой к тому моменту не было в открытых источниках. Например, ФИО сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов.
Во вложении был документ Microsoft Word с вредоносным кодом, который позволял получить управление системой без дополнительных действий со стороны пользователя.
Далее злоумышленники использовали утилиту Ladon для сканирования сети, поиска и эксплуатации уязвимостей и кражи паролей.
В итоге хакеры получали полный контроль над рабочими станциями и серверами организации и переносили файлы с конфиденциальными данными на свои серверы в разных странах.
По данным специалистов по кибербезопасности, хакеры совершили атаки на более чем 12 организаций. Мишенями стали «заводы, конструкторские бюро и НИИ, государственные агентства, министерства и ведомства нескольких стран Восточной Европы (Белоруссия, Россия, Украина) и Афганистана».
В «Лаборатории Касперского» считают, что к атакам могут быть причастны хакеры из китайскоязычной кибергруппы TA428.
Ранее пользователи крупнейшего хранилища открытого программного обеспечения GitHub обнаружили более 35 000 клонов популярных пакетов открытого кода, заражённых вредоносными программами и замаскированных под оригиналы. Некоторые из них позволяют получить несанкционированный доступ к данным.