Компания McAfee сообщила о новой масштабной, целенаправленной и скрытой кампании, инициированной китайскими хакерами; их основная цель - крупные производственные компании, работающие в нефтегазовой и энергетической отраслях.
Согласно документам, операция «Night Dragon» стартовала в ноябре 2009 года и продолжается до сих пор, причем жертвами являются исключительно крупные энергетические, нефтяные и нефтехимические компании. Злоумышленников интересует строго секретная информация о новых патентуемых разработках и технологиях, а так же финансовые документы, которые могут быть полезны для конкурирующих организаций.
Для реализации задуманного, хакеры тщательно разработали стратегию внедрения, используя при этом практически все известные средства: социальную инженерию, фишинг, внедрение эксплойт-кодов, вторжение на серверы компаний, а так же инструментарий для удаленного администрирования (RAT).
План захвата. В первую очередь хакеры получают доступ к частной интернет сети, с помощью обычных атак типа SQL injection, что открывает возможность удаленного выполнения последующих команд. Далее, на взломанные серверы, устанавливается программное обеспечение, с помощью которого хакеры внедрялются во внутренние серверы и целевые компьютеры. Затем, уже имея полный контроль над парком машин компании, злоумышленники находят интересующие документы, как в архивах электронной почты, так и среди хранящихся файлов; предпочтение отдается ПК руководящих лиц, а поиск осуществляется посредством программ удаленного администрирования. Кроме того, были зафиксированы попытки фишинговых атак на ноутбуки сотрудников и взлома учетных записей корпоративной VPN сети.
Стоит заметить, что пока не установлено кто являлется инициатором. Но согласно данным McAfee, точно известно, что все это происходило со стороны КНР. К примеру, было зарегистрировано несколько вторжений на серверы компаний, расположенных в Нидерландах. Атака была проведена из нескольких локальных точек Китая посредством командно-контрольных серверов, расположенных на хостингах в США. Более того, в операции применялись такие инструменты как WebShell и ASPXSpy, которые предпочитают хакеры именно этой страны.
Однако возникает вопрос: если о «Night Dragon» стало известно еще в 2009 году, то почему специалисты рассказали об этом только сейчас?
По словам директора по стратегической безопасности европейского представительства McAfee Грега Дея, изобилие разнообразных автоматизированных средств контроля и предупреждения вторжений усыпляет бдительность, в связи с этим уследить за подобными инцидентами становится сложно. Однако было решено опубликовать эти данные, дабы предупредить компании о существующей угрозе. Вполне возможно, что хакеры будут расширять поле деятельности, и следующтми могут оказаться правительственные и военные организации, а так же крупные корпорации, работающие в других отраслях промышленности.
