Китайские специалисты по кибербезопасности обнаружили широкомасштабную хакерскую операцию в Казахстане, к которой могут иметь отношение правоохранительные органы, сообщает КазТАГ со ссылкой на ZDNet.
«Исследователи в области кибербезопасности сообщили, что продвинутая хакерская группа использует специально разработанные инструменты взлома, дорогостоящие комплексы оборудования для слежки, мобильные вредоносные программы и оборудование для перехвата радиосвязи, чтобы шпионить за Казахстаном», — говорится в сообщении.
При этом поясняется, что такая информация была опубликована в отчете китайской компании Qihoo 360.
В число целей хакерских атак входят отдельные лица и организации, охватывающие все сферы жизни, такие как правительственные учреждения, военные, исследователи, журналисты, частные компании, учреждения образования, религиозные деятели, диссиденты и иностранные дипломаты.
«Кампания, по словам Qihoo 360, была широкомасштабной, и, похоже, проведена злоумышленниками, обладающими значительными ресурсами и возможностью разрабатывать свои собственные инструменты взлома, приобретать дорогостоящие шпионские программы на рынке видеонаблюдения и даже вкладывать средства в радиоаппаратуру для перехвата связи».
По информации издания, одни атаки производились путем отправки жертвам тщательно созданных электронных писем с вредоносными вложениями (фишинг), а другие состояли в физическом доступе к устройствам, используя шпионскую технику на местах в Казахстане.
Как сообщается, за атаками стоит группа Golden Falcon («Золотой Сокол»).
«Исследователи Qihoo назвали группу, стоящую за этой масштабной кампанией – Golden Falcon (или APT-C-34). При этом они заявили, что группа новая, но, когда ZDNet обратился к «Касперскому», нам сказали, что Golden Falcon, по-видимому, является еще одним названием DustSquad, организации кибершпионажа, которая активна с 2017 года. Как и атаки, задокументированные Qihoo на этой неделе, атаки 2018 года также были направлены на Казахстан, но использовали другой тип вредоносного ПО».
Исследователи заявили, что нашли данные о жертвах, расположенных в более чем 13 крупнейших городах Казахстана.
Файлы на C&C-сервере показали, какие типы хакерских инструментов использовала эта группа. Два инструмента выделялись особо. Первый – это версия RCS (Remote Control System), комплект для слежки, продаваемый итальянским поставщиком HackingTeam. Второй – троян под названием «Гарпун», который, похоже, был разработан самой группой. Но у «Золотого Сокола» был еще один мощный инструмент. Qihoo говорит, что группа использовала уникальный бэкдор, который больше никем не использовался и, скорее всего, был их собственной разработкой. Исследователи сообщили, что получили копию инструкции к этому инструменту, из которой видно, что это – хорошо разработанный инструмент с большим набором функций, который ничуть не хуже многих из существующих на сегодняшний день троянов бэкдора.
«Программный комплекс СТС «Гарпун» обеспечивает выполнение следующих функций: перехват вводимых объектом с помощью клавиатуры символов и знаков; перехват копируемого объектом текста в буфер обмена; снятие содержимого активных окон на рабочем столе объектового компьютера с заданным интервалом времени; получение списка содержимого заданного каталога на жестком диске объектового компьютера; перехват списка логинов и контактов, входящих и исходящих сообщений объекта, передаваемых в чате с помощью программы Skype; запись разговоров объекта, осуществляемых с помощью Skype и Google Hangouts; запись звука с микрофона; копирование заданных файлов с объектового компьютера; автоматическое копирование файлов-документов со сменных носителей объектового компьютера; упаковка всей перехваченной и скопированной информации в нечитаемые dat-файлы с сохранением их в заданный каталог на объектовом компьютере; отправка перехваченной информации на заданный FTP-pecypc в сети Интернет; запуск программы или команды операционной системы на объектовом компьютере; скачивание файлов с заданного FTP-pecypca и установка их в заданный каталог на объектовом компьютере; удаленная перенастройка и обновление комплекса на объектовом компьютере; прием перехваченной информации с заданного FTP-pecypca с распаковкой файлов в заданный каталог в автоматическом режиме; самоуничтожение комплекса по команде».
Кроме того, исследователи Qihoo также обнаружили дополнительные файлы, такие как контракты, предположительно подписанные группой.
«Один из этих контрактов, по-видимому, касается закупки шпионского комплекса для мобильной связи, известного как Pegasus. Это мощный инструмент для взлома мобильных устройств с версиями для Android и iOS, продаваемый NSO Group. Контракт предполагает, что Golden Eagle, по крайней мере, проявил интерес к приобретению инструментов слежки NSO на Android и iOS».
По информации Qihoo, вредоносное ПО, которое они проанализировали, включает 17 модулей с различными функциями: от прослушивания аудио до отслеживания истории браузера, от кражи журналов IM-чата до отслеживания геолокации жертвы. Второй набор контрактов показал, что Golden Falcon также приобрел оборудование у компании «Юрион» – московского оборонного подрядчика, который специализируется на радиоконтроле, прослушивании и другом коммуникационном оборудовании. Исследователи сообщили, что они смогли отследить четырех участников Golden Falcon и одну организацию. По информации ZDNet, один из членов группы являтся московским программистом, которого китайская фирма назвала «техническим инженером» Golden Falcon.
При этом отмечается, что ни Qihoo, ни «Касперский» в своем отчете за 2018 год не делают никакой официальной ссылки на эту группу. Единственной деталью, которую они упомянули, было то, что это была русскоязычная APT (продвинутое хакерское подразделение, поддерживаемое государством).
«ZDNet попросил нескольких аналитиков высказать свое мнение. Наиболее распространенные теории, которые мы слышали, заключались в том, что это «выглядит» как (1) российская APT, (2) разведывательная служба Казахстана, шпионящая за своими гражданами, (3) российская наемная группа, занимающаяся шпионажем по заказу правительства Казахстана – последние два являются наиболее распространенным ответом. Однако следует отметить, что эти аргументы субъективны и не основаны на каких-либо фактических существенных доказательствах».
Как отмечает издание, использование программного обеспечения для слежки HackingTeam и расследование покупки комплекса для взлома мобильных устройств NSO Group указывают, что это могут быть правоохранительные органы.
«Тем не менее, Qihoo также отметил, что некоторые из жертв этой хакерской кампании были также китайскими правительственными чиновниками на северо-западе Китая, что означает, что если это был казахский правоохранительный орган, то он серьезно превысил свои полномочия», — подчеркивает издание.