Китайські хакери влаштували масову атаку на російські урядові сайти, передає The Moscow Times.
Китайські хакери з кінця липня провели серію цілеспрямованих кібератак на десятки комп’ютерів російських державних установ та ІТ-компаній.
Видання BleepingComputer із посиланням на експертів із кібербезпеки з “Лабораторії Касперського” зазначає, що до атак причетні два угруповання: APT31 і APT27.
Хакери використовували фішингові листи зі шкідливими файлами, які дозволяли їм встановлювати на пристрої спеціальне програмне забезпечення. Це ПЗ отримувало команди через хмарне сховище Dropbox і використовувалося для завантаження на заражені комп’ютери додаткових шкідливих програм. Серед цих програм були інструменти, що застосовуються хакерським угрупованням APT31, а також оновлена версія шкідливої програми Cloudsorcerer. Експерти з “Лабораторії Касперського” назвали цю серію атак операцією Eastwind.
Згідно з даними “Лабораторії Касперського”, APT31 щонайменше з 2021 року використовувала троянську програму GrewApacha, поширювану через Dropbox. Бекдор Cloudsorcerer було модернізовано, і тепер для його роботи використовують профілі в “Живому Журналі” і на сайті Quora як командні сервери. У нових атаках також задіяний імплант Plugy, що виконує функції класичного бекдора. Він завантажується через Cloudsorcerer і підтримує три різні протоколи зв’язку з командним центром. Код Plugy схожий із кодом бекдора DRBControl, який пов’язують із хакерським угрупованням APT27.