Китайская группа хакеров взломала Монгольский национальный центр обработки данных в конце прошлого года во время экспансивной кибер-шпионской кампании, что позволило злоумышленникам спокойно размещать вредоносное ПО на правительственных сайтах. Об этом сообщается в новом аналитическом докладе «Лаборатории Касперского». Информация подтверждается результатами дополнительного анализа, предоставленных CyberScoop.
Согласно последним исследованиям Лаборатории Касперского, известная китайская группа хакеров использовала для атаки в том числе и фишинговые электронные письма, чтобы атаковать конкретных сотрудников монгольского центра обработки данных. Получив индивидуальный доступ, хакеры использовали его для дополнительного контроля над инфраструктурой объекта.
Атака началась примерно в октябре 2017 года. Она была обнаружена Лабораторией Касперского в марте 2018 года. Китайская группа, которая несет ответственность за данную атаку, широко связана с Пекином. Она известна тем, кто занимается кибербезопасностью, под разными именами, включая APT27, EmissaryPanda, IronPanda и LuckyMouse. Известно, что эта группа хакеров также нацелена на контрактников обороны США.
В отчете Касперского в качестве жертвы атаки называется некая страна Центральной Азии, конкретная страна не указывается. Однако источник, знакомый с докладом, сообщил, что речь идет о Монголии.
В прошлом APT27 была связана как с государственным шпионажем, так и с финансовыми преступлениями, в том числе с действиями по добыче биткойнов. Существуют также случаи, когда китайские правительственные группы по взлому оказывались нечисты на руку, зарабатывая деньги на стороне и одновременно осуществляя традиционные разведывательные миссии.
Редко можно увидеть, как хакеры нарушают работу всего национального центра обработки данных, особенно в такой степени.
“Самый необычный и интересный момент здесь — цель. Национальный центр обработки данных является ценным источником данных, которые также можно использовать, чтобы скомпрометировать официальные веб-сайты”, — пишет старший научный сотрудник Kaspersky Security Денис Легезо.
Цель взлома этого центра обработки данных заключалась в том, чтобы скомпрометировать «широкий спектр [монгольских] правительственных ресурсов одним махом».Затем на некоторых веб-сайтах, размещенных центром обработки данных, был введен вредоносный код JavaScript, который мог бы заразить компьютеры людей, посетивших домены.
В некоторых случаях атакованные машины также получили троян удаленного доступа (RAT) известный как «HyperBro», который предоставил настраиваемые элементы управления для дальнейшего управления или кражи секретов из систем.
“С середины ноября 2017 года в зараженном центре обработки данных были обнаружены следы HyperBro. Разные пользователи в стране начали перенаправляться на вредоносный домен update.iaacstudio [.]com в результате атаки правительственных веб-сайтов”, — сообщается в блоге Касперского.
Исследователи обнаружили, что сервер, с которого шла атака на монгольские правительственные сайты, был загадочно расположен в Украине. Более конкретно, команда и управление (C2) могли быть привязаны к взломанному маршрутизатору Mikrotik, работающему на старой прошивке. Хакеры, вероятно, использовали эту «украинскую машину», чтобы запутать свою деятельность. Пока не ясно, как хакеры взломали маршрутизатор Mikrotik.
В последние месяцы сообщалось о нескольких критических уязвимостях в системах Mikrotik.
Исторически Монголия и Китай поддерживают сложные отношения.
Китай является одним из крупнейших региональных союзников и торговых партнеров Монголии; по данным некоторых исследований, почти 90 процентов экспорта Монголии идет в Китай.
Но Пекин известен также преследованием этнических и религиозных меньшинств, включая буддистов, мусульман, шаманистов и других. Буддизм является самой распространенной религией в Монголии.
В конце 2017 года, примерно в то же время, когда APT27 взломал вышеупомянутый государственный центр обработки данных, президент Китая Си Цзиньпин прошел переизбрание. Несколькими месяцами ранее в Монголии тоже прошли выборы, в которых нынешний президент Халтмаа Баттулга победил на популистской волне, вызванной антикитайской риторикой. В то время некоторые эксперты по внешней политике предсказывали, что Монголия перенесет свою экономическую зависимость в сторону России.