21 февраля 2013 г.

Фирма Mandiant опубликовала отчет, из которого следует, что сотни кибератак на США за последние годы - дело рук организации, находящейся в Китае. Атаки носят массированный характер: украдены сотни терабайт данных как минимум из 141 организации.

Преступники крадут интеллектуальную собственность, но могут скрытно присутствовать на компьютере в течение года, осуществляя слежку, пишет Mandiant, имеющая специальную группу по анализу кибератак. Фирма полагает, что обнаружила достаточные свидетельства, чтобы связать эти атаки с одной из 20 организаций киберпреступников, работающих под прикрытием китайского правительства.

Mandiant проанализировала деятельность группы APT1 и документировала факты осуществленных ею взломов на протяжении семи лет. В своем отчете, озаглавленном «APT1: один из аванпостов кибершпионажа Китая», фирма пишет, что имеет неопровержимые доказательства, указывающие на местонахождение этой группы в Шанхае, но деятельность, непосредственно наблюдавшаяся специалистами Mandiant, составляет лишь малую часть ее кибершпионажа.

«Детали, которые мы проанализировали в ходе сотен проверок, убеждают нас, что группы, осуществляющие эту деятельность, расположены главным образом в Китае и что правительство этой страны прекрасно о них знает, - пишет фирма в своем отчете. - Наши наблюдения свидетельствуют, что по количеству украденной информации это одна из самых “плодовитых” групп кибершпионажа».

Тактика китайских киберпреступников разнообразна и включает «социальную инженерию», «жёсткий» фишинг (spearphishing), инструменты дистанционного доступа и более 40 семейств вредоносного ПО.

В своем отчете Mandiant перечислила тысячи признаков атак, включая доменные имена и IP-адреса, которые могут указывать на то, что это дело рук APT1. К отчету прилагаются цифровые сертификаты и видеофайлы, демонстрирующие реальные действия взломщиков. Прилагается также бесплатная утилита для выявления инфицированных систем.

Киберпреступники держали под «наблюдением» компании из 20 основных отраслей, пишет Mandiant. Периодически в течение нескольких месяцев или лет они посещали такую «вскрытую» сеть, выкрадывая технические планы, сведения о проприетарных технологических процессах, результаты испытаний, бизнес-планы, информацию о ценах, соглашения о партнерстве, сообщения электронной почты и списки контактов руководителей этих организаций. Как минимум одна организация находилась под такой «опекой» почти пять лет, прежде чем это было обнаружено.

Лишь за один месяц 2011 г. группа APT1 проникла в сети 17 организаций, 87% «наблюдаемых» организаций находятся в странах английского языка, пишет Mandiant.

Фирма полагает, что группу APT1 спонсирует китайское правительство. Эксперты проследили атаки вплоть до четырех крупных сетей в Шанхае и выявили значительную по ресурсам инфраструктуру, командные серверы, инструментарий и тактику.

Масштаб инфраструктуры, на которую опираются киберпреступники, впечатляет: 937 командных серверов, размещенных на 849 отчетливых IP-адресах в 13 странах. Для управления инфицированными системами группа использовала удаленный десктоп за границей. Mandiant полагает, что за этими атаками могут стоять сотни людей.

«Учитывая масштаб, продолжительность и тип преступной деятельности, операторы APT1 должны были опираться на прямую поддержку лингвистов, специалистов по open-source, создателей вредоносного ПО и экспертов отрасли, транслирующих задания от заказчиков к исполнителям, а также людей, которые затем передают украденную информацию заказчикам, - говорится в отчете. - Группа APT1 должна также иметь значительный штат ИТ-персонала, занятый закупкой и обслуживанием компьютерного оборудования, и людей, которые занимаются финансами, логистикой и административно-хозяйственной работой».

© 2013. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com.  Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США