Китайська хакерська група «Blackwood» шпигує за людьми та компаніями у Великобританії, Китаї та Японії за допомогою інструменту під назвою NSPX30. Зловмисне програмне забезпечення потрапляє на цільові пристрої через офіційні оновлення програми.
Кіберзлочинці завжди знаходять геніальні способи отримати цінні дані. Як виявили дослідники ESET, раніше невідома хакерська група з Китаю шукає дані за допомогою нового інструменту під назвою NSPX30. Особливість цього: замість того, щоб заражати користувача через шкідливі вкладення електронної пошти та веб-сайти, він досягає цільових систем через офіційні оновлення програми. З 2018 року «Blackwood», як назвала групу дослідник ESET Факундо Муньос, «Blackwood» шпигувала за людьми та компаніями у Великій Британії, Китаї та Японії.
NSPX30 пересилає знімки екрана та збережену інформацію
Щойно зловмисне програмне забезпечення встановлено, воно негайно починає збирати дані та передавати їх тим, хто за ним стоїть. Це включає знімки екрана, інформацію, що зберігається на пристрої, і натискання клавіш. Однак точна схема атаки та те, як група приховує свою особу, досі невідомі:
«Ми точно не знаємо, як зловмисники можуть доставляти NSPX30 як шкідливі оновлення, оскільки ми ще не виявили інструмент, який зловмисники використовують для первинної компрометації своїх цілей», — пояснює дослідник ESET Факундо Муньос, який керує NSPX30 і Blackwood виявив. «Однак ми підозрюємо, що зловмисники розгортають шкідливе програмне забезпечення в мережах своїх жертв, встановлюючи його на вразливі мережеві пристрої, такі як маршрутизатори або шлюзи. Це підтверджується нашим досвідом роботи з подібними китайськими загрозливими акторами, а також нещодавніми розслідуваннями імплантатів маршрутизаторів, приписуваних іншій китайській групі, MustangPanda».
Хто жертви Блеквуда?
Цілями нової хакерської групи є невідомі люди в Китаї та Японії, а також невідома китайськомовна особа, пов’язана з мережею престижного державного дослідницького університету Великобританії. Велика виробнича і торгова компанія в Китаї, а також філії японської виробничої компанії, що базується там, також опинилися під прицілом Blackwood.
Як помітили дослідники ESET, постраждалим людям і організаціям нелегко нарешті відбити атаки: актори постійно намагаються скомпрометувати системи своїх жертв, щойно доступ втрачається.
Blackwood Group використовує постійний кіберімплант
Blackwood — це група Advanced Persistent Threat (APT), яка фінансується державою Китаю і діє принаймні з 2018 року. Відтоді вона проводила кампанії кібершпигунства проти китайських і японських осіб і компаній, головним чином через кібершпигунство. Вона віддає перевагу методу Adversary-in-the-Middle (AitM): кіберзлочинці втручаються в зв’язок між користувачем і законним сервісом і навіть можуть використовувати його для обходу механізмів безпеки, таких як багатофакторна автентифікація.
У своїх атаках група Blackwood використовувала інструмент із загадковою назвою NSPX30. Це так званий імплант, тобто шкідлива програма, яка надає хакерам широкий доступ до систем своїх жертв. Базова версія цього інструменту вперше з'явилася в 2005 році. Цей імплантат містить різноманітні функції, включаючи крапельницю, інсталятор, оркестратор і бекдор. Останні дві функції дозволяють хакерам шпигувати за такими додатками, як Skype, Telegram і месенджерами Tencent QQ і WeChat, які особливо популярні в Китаї. Дві функції роблять імплантат особливо підступним:
- NSPX30 може проникати в різні китайські рішення для захисту від шкідливих програм, щоб уникнути виявлення
- Встановлення здійснюється через офіційне оновлення: якщо ви спробуєте завантажити такі програми, як месенджер Tencent QQ або офісні програми Sogou Pinyin і оновлення WPS Office через незашифроване з’єднання, імплантат буде встановлено негайно. Жертвам навіть не потрібно переходити на зламаний сайт або натискати фішингове посилання, щоб заразитися.
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.
Статті по темі