Третий квартал 2017 года ясно продемонстрировал, что китайскоязычные хакеры не «исчезли» и по-прежнему очень активно действуют, проводя кибершпионские кампании против широкого круга стран и отраслевых вертикалей. В общей сложности 10 из 24 исследовательских проектов по продвинутым целенаправленным атакам, проведенных «Лабораторией Касперского» в третьем квартале, сосредоточились на деятельности, связанной с несколькими участниками в китайском регионе. Эти и другие тенденции раскрываются в последнем ежеквартальном сводке «Лаборатории Касперского».
Исследования, проведенные в период с июля по сентябрь 2017 года, выявили ряд событий в области целенаправленных нападений, в том числе с участием китайских, российских, английских и корейских киберпреступников. В частности, в этот период особенно активно действовали китайские хакеры. Их оживление затронуло не только различные организации, но и правительственные и политические органы.
Наиболее интересными атаками китайскоязычных хакеров были Netsarang/ShadowPad и CCleaner — обе включали в себя создание специальных бэкдоров внутри пакетов установки законного программного обеспечения. CCleaner смог одновременно заразить 2 млн компьютеров, что сделало эту атаку одной из самых больших в 2017 году.
Также эксперты «Лаборатории Касперского» отметили возрастающую заинтересованность китайских преступников в нападениях на стратегические объекты и секторы экономики. К примеру, IronHusky атаковала российские и монгольские авиационные компании и научно-исследовательские институты. Эта кампания была открыта в июле, когда две страны были атакованы троянцем Poison Ivy. Атака была связана с перспективами противоракетной обороны Монголии, которые были ключевым предметом переговоров, проведенных с Россией в начале этого года. Вторым примером стала атака на энергетические сектора Индии и России с помощью вредоносного кода, называемого H2ODecomposition. В некоторых случаях эта вредоносная программа маскировалась под популярное индийское антивирусное решение QuickHeal.
Кроме того, в третьем квартале 2017 года специалисты «Лаборатории Касперского» выпустили несколько отчетов о русскоязычных хакерах. Большинство из них были посвящены финансовым и ATM-атакам, однако в одном отчете рассматривалась летняя активность группы Sofacy.
Что касается англоязычных преступников, в третьем квартале здесь появился еще один член Lambert — Red Lambert. Lambert — это семейство сложных инструментов, которые использовались по крайней мере с 2008 года. Red Lambert — это бэкдор, управляемый сетью, обнаруженный во время предыдущего анализа Grey Lambert и используемый вместо жестко закодированных сертификатов SSL в командных и контрольных сообщениях.
«Целевой ландшафт угроз постоянно развивается, причем не только с точки зрения того, что киберпреступники становятся все более подготовленными и технологически сложными, но и с точки зрения географии. Рост участников, говорящих на китайском языке, еще раз демонстрирует важность инвестирования в обнаружение угроз и защиты организаций с пониманием последних тенденций и событий, — сказал Брайан Бартоломью, главный научный сотрудник по безопасности в «Лаборатории Касперского».