Киберпреступная группировка APT20 (также известная как Violin Panda и th3bug) предположительно спонсируемая правительством Китая, в течение последних двух лет без лишнего шума атаковала компании и правительственные учреждения, похищая пароли и обходя двухфакторную аутентификацию для сбора данных
По словам специалистов из ИБ-фирмы Fox-IT, атаки группировки затронули компании в 10 странах, включая США, Великобританию, Францию, Германию и Италию. Киберпреступники провели глобальную шпионскую кампанию, которую специалисты назвали «Operation Wocao», нацеленную на такие отрасли, как авиация, строительство, финансовая сфера, здравоохранение, страхование, азартные игры и энергетика.
Как полагают эксперты, киберпреступники принадлежат к группировке APT20, которая в период с 2009 по 2014 год организовала кампании, нацеленные на университеты, а также военные, медицинские и телекоммуникационные компании. Группировка несколько лет оставалась в тени, но сейчас возобновила свою деятельность.
Преступники обычно получают доступ к системам организации, эксплуатируя уязвимость в web-серверах, которыми управляет компания или государственное учреждение. Затем они продвигаются дальше по сети в поисках системных администраторов с привилегированным доступом к наиболее важным частям компьютерной системы.
APT20 загружала кейлоггеры на компьютерные системы администраторов для записи нажатий клавиш и хищения паролей. По словам специалистов, группа также смогла как минимум в одном случае обойти систему двухфакторной аутентификации RSA SecurID, скопировав ее коды.
Преступники эффективно скрывают свои следы, регулярно удаляя инструменты для кражи данных с зараженных компьютеров, пишут СМИ.
В ходе кампании они использовали такие инструменты, как web-шеллы для загрузки файлов и выполнения команд, скрипт для сканирования системы на предмет необходимой преступнику информации, кастомный бэкдор XServer, CheckAdmin для определения авторизованных администраторов и пр.