Китайские хакеры устроили массовую атаку на российские правительственные сайты, передает The Moscow Times.
Китайские хакеры с конца июля провели серию целенаправленных кибератак на десятки компьютеров российских государственных учреждений и ИТ-компаний.
Издание BleepingComputer со ссылкой на экспертов по кибербезопасности из «Лаборатории Касперского» отмечает, что к атакам причастны две группировки: APT31 и APT27.
Хакеры использовали фишинговые письма с вредоносными файлами, которые позволяли им устанавливать на устройства специальное программное обеспечение. Это ПО получало команды через облачное хранилище Dropbox и использовалось для загрузки на зараженные компьютеры дополнительных вредоносных программ. Среди этих программ были инструменты, применяемые хакерской группировкой APT31, а также обновленная версия вредоносной программы Cloudsorcerer. Эксперты из «Лаборатории Касперского» назвали эту серию атак операцией Eastwind.
Согласно данным «Лаборатории Касперского», APT31 как минимум с 2021 года использовала троянскую программу GrewApacha, распространяемую через Dropbox. Бэкдор Cloudsorcerer был модернизирован, и теперь для его работы используются профили в «Живом Журнале» и на сайте Quora как командные серверы. В новых атаках также задействован имплант Plugy, выполняющий функции классического бэкдора. Он загружается через Cloudsorcerer и поддерживает три различных протокола связи с командным центром. Код Plugy схож с кодом бэкдора DRBControl, который связывают с хакерской группировкой APT27.
Ранее сообщалось, что шесть крупнейших банков России стали жертвами мощной хакерской атаки.