Китайская киберразведка годами атакует критическую инфраструктуру Азии
Сложная и долговременная кампания кибершпионажа, приписываемая англоязычной угрозе, раскрыта в ключевых инфраструктурных секторах по всей Азии. Исследователи безопасности выявили многолетнюю операцию, использующую смесь специально разработанного вредоносного ПО, общедоступных открытых инструментов и легитимных системных бинарников для проникновения в системы Windows и Linux. Основной целью этой скрытной кампании считается сбор разведданных, а угроза, вероятно, действует в интересах государства или при его поддержке.
Методология злоумышленников демонстрирует высокую степень операционной безопасности и адаптивности. Сочетая собственное вредоносное ПО для основной функциональности бэкдора с известными открытыми утилитами, группа маскирует свои уникальные сигнатуры под рутинный сетевой трафик. Использование легитимных системных инструментов дополнительно сокращает следы атаки, позволяя действовать незаметно внутри сетей долгое время.
Особенно примечательна кроссплатформенность угрозы, нацеленной как на Windows, так и на Linux. Это отражает deliberate effort для обеспечения всестороннего доступа в разнородных ИТ-инфраструктурах. Linux-системы, часто hosting серверы и базы данных, являются высокоценными целями для шпионажа из-за обрабатываемых ими чувствительных данных.
Данная кампания служит grim reminder о постоянных и advanced угрозах для национальной критической инфраструктуры по всему миру. Защита от таких смешанных атак требует стратегии глубокой эшелонированной обороны, выходящей за рамки сигнатурного обнаружения. Командам безопасности необходимо усилить мониторинг аномальной активности и применять принцип наименьших привилегий.
Устойчивый характер атак, фокусирующихся на высокоценных секторах, подчеркивает стратегические усилия по установлению и поддержанию постоянного доступа для целей шпионажа. Это требует от государств и компаний повышенной бдительности и инвестиций в кибербезопасность.
