24 декабря 2018 г.
«[Китайская] APT10 Group нацеливала [свои атаки] на MSP, чтобы использовать их сети для получения несанкционированного доступа к компьютерам и компьютерным сетям их клиентов и кражи, среди прочего, интеллектуальной собственности и конфиденциальных бизнес-данных в глобальном масштабе», — указывает Министерство юстиции США в
В ходе этой кампании, которая началась в 2014 году, группа APT10 в одном из случаев взломала компьютеры MSP, главный офис которого находится в штате Нью-Йорк, и выкрала данные самого этого MSP и некоторых из его клиентов, говорится в обвинении.
<...>
«Мы надеемся, что настанет день, когда обвиняемые предстанут перед правосудием в соответствии с законом в зале федерального суда», — сказал Род Розенстайн (Rod Rosenstein), заместитель Генерального прокурора США, в официальном заявлении.
После того как APT10 взломала компьютеры MSP, сообщает Минюст, атакующие установили несколько по-разному видоизмененных вариантов вредоносного ПО. Оно было установлено с помощью вредоносных файлов, которые маскируются под обычные, чтобы не быть обнаруженными антивирусом, сказано в обвинении.
В конечном счете, вредоносное ПО позволило членам APT10 вести удаленный мониторинг компьютеров клиентов MSP по всему миру и красть регистрационные данные пользователей с помощью различных хакерских инструментов, указывает Минюст. В ходе этой кампании краж через MSP группа APT10 зарегистрировала около 1300 уникальных вредоносных доменов начиная еще с 2010 года.
Выкрав регистрационные данные с правами администратора с компьютера MSP, APT10 использовала протокол удаленного рабочего стола, чтобы инициировать подключение к другим системам в сетях MSP и его клиентов. Это позволило членам группы расширять фронт атаки через взаимосвязанную сеть и, в конечном счете, проникнуть на компьютеры MSP и его клиентов, даже если на них еще не было установлено вредоносное ПО, говорится в обвинении.
После этого группа использовала украденные учетные записи, чтобы переместить данные клиента MSP на один или несколько других взломанных компьютеров, а уже оттуда перенести эти данные на IP-адрес под контролем APT10. Группа обычно удаляла украденные файлы с взломанных компьютеров, чтобы избежать обнаружения и не дать возможности установить, какие именно файлы были украдены, сказано в обвинении.
В апреле 2017 года частная фирма кибербезопасности опубликовала открытый отчет, где указала вредоносные домены, используемые группой APT10. В ответ APT10 начала использовать новые варианты вредоносного ПО и новые домены для своих вторжений, говорится в обвинении. Эти новые варианты с меньшей вероятностью могли быть обнаружены пострадавшими компаниями и антивирусным ПО.
Минюст США сообщает, что среди клиентов MSP, пострадавших в ходе атак APT10, три фирмы телекоммуникационных услуг и потребительской электроники, три коммерческие и промышленные производственные компании, две консалтинговые фирмы, глобальная финансовая организация, фирмы здравоохранения, биотехнологическая фирма, добывающая компания, поставщик для автомобилестроения и буровая компания.
Дмитрий Альперович, соучредитель и директор по технологии компании CrowdStrike, назвал беспрецедентным и обнадеживающим то, что власти США заняли, наконец, решительную позицию в отношении спонсируемого государством экономического шпионажа со стороны Китая.
«Хотя одно лишь это действие вряд ли решит проблему, и компании в США, Канаде, Европе, Австралии и Японии будут и дальше подвергаться атакам ..., это важный шаг к тому, чтобы они [атакующие] несли большие издержки, и к изоляции [Министерства государственной безопасности Китая] в международном масштабе», — сказал Альперович.
© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США