Новости Storm-0227: Китай начал глобальную кибератаку на правительственные сети США

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Новая стратегия кибершпионажа заставила нервничать американских специалистов.


i3dnb6yzidy3whjiwyfda5bd1pqfvl75.jpg


Microsoft Для просмотра ссылки Войди или Зарегистрируйся что китайская хакерская группа Storm-0227 5 декабря начала атаки на критическую инфраструктуру и госагентства США. Хакеры действуют с января и сохраняют активность по сей день.

Деятельность Storm-0227 пересекается с операциями других китайских шпионских группировок, таких как Silk Typhoon (Hafnium) и TAG-100. За последние 12 месяцев основными целями стали американские организации, включая предприятия оборонной промышленности, авиационные компании, телекоммуникационные фирмы, финансовый и юридический сектора, а также государственные агентства и НКО.

Storm-0227 использует известные уязвимости в веб-приложениях и фишинговые письма с вредоносными вложениями или ссылками. С сентября злоумышленники активно распространяют SparkRAT — инструмент удалённого администрирования с открытым исходным кодом, который открывает устойчивый доступ к системам жертв. Примечательно, что группа не разрабатывает собственное вредоносное ПО, а использует доступные на рынке решения.

После взлома киберпреступники крадут учётные данные для облачных сервисов, включая Microsoft 365 и eDiscovery, используемое юристами для анализа документов. Работа с легальными приложениями позволяет скрываться от обнаружения, маскируясь под обычных пользователей. Основная цель атак — получение конфиденциальной информации, включая электронные письма и связанные с ними файлы. Аналитики считают, что такие данные помогают хакерам лучше понять операции жертв.

Жертвы Storm-0227 пересекаются с секторами, подвергавшимися атакам других китайских хакерских групп – Salt Typhoon (специализирующейся на телекоммуникациях) и Volt Typhoon. Эксперты предупреждают, что активность группы продолжится, так как Китай концентрирует усилия на сборе разведывательных данных, представляющих интерес для национальной безопасности.

Microsoft подчеркивает, что кибершпионы продолжают извлекать файлы с целью разведки, включая контекстные данные из коммуникаций. Основной фокус сохраняется на американских интересах и стратегических объектах.
 
Источник новости
www.securitylab.ru

Похожие темы