Исследователи предупреждают о скрытом китайском бэкдоре, нацеленном на несколько иностранных агентств



Скрытая программа-бэкдор, обнаруженная в инструментах, используемых связанными с Китаем злоумышленниками, нацелена на правительственные компьютеры в нескольких иностранных агентствах, позволяя злоумышленникам сохранять присутствие в конфиденциальных сетях и извлекать данные, оставаясь при этом незамеченными.

Исследователи Symantec, подразделения Broadcom Device, заявили в опубликованном сегодня информационном бюллетене, что бэкдор, который они назвали Daxin, «демонстрирует невиданную ранее техническую сложность». Это дает злоумышленникам возможность скрытно собирать данные о скомпрометированных системах и передавать информацию злоумышленнику с помощью методов «машина посередине». Symantec заявила, что вредоносное ПО, которое использовалось совсем недавно, в ноябре 2021 года, было нацелено на правительственные учреждения в странах, представляющих стратегический интерес для Китая, хотя компания не назвала организации, которые пострадали от вредоносного ПО.

Тщательность, с которой китайские злоумышленники разрабатывали и использовали бэкдор, резко отличается от стандартных программ и инструментов, обычно используемых исследователями, говорит Викрам Тхакур, ведущий исследователь Symantec компании Broadcom.

«Это первая угроза, которую мы увидели, когда они осознают долгосрочные кампании кибератак для кибершпионажа», — говорит он. «В прошлом китайские злоумышленники, похоже, мало беспокоились о том, что их поймают. Мы предполагали, что они относились к своим инструментам как к одноразовым, но они [using Dakin] более десяти лет, что означает, что наше первоначальное мышление было неверным».

Бэкдор — это драйвер ядра Home windows, реализующий расширенные коммуникационные функции, которые позволяют его операторам заражать системы в высокозащищенных сетях и позволять им обмениваться данными без обнаружения, даже если системы не могут подключиться к Интернету. Эти функции аналогичны вредоносному ПО Regin, обнаруженному Symantec в 2014 году, которое компания приписала западным спецслужбам.

Symantec проследила историю бэкдора Daxin до 2013 года, при этом большинство расширенных функций уже существовало в вредоносном ПО на тот момент, что «предполагает, что к 2013 году злоумышленники уже хорошо зарекомендовали себя», — говорится в сообщении компании. Компания считает, что разведывательная группа, стоящая за вредоносным ПО, существовала по крайней мере еще в 2009 году, основываясь на сходстве с другими программами.

«Возможности Daxin свидетельствуют о том, что злоумышленники приложили значительные усилия для разработки методов связи, которые могут незаметно смешиваться с обычным сетевым трафиком в сети цели», — говорится в бюллетене Symantec. «В частности, вредоносная программа избегает запуска собственных сетевых служб. Вместо этого она может злоупотреблять любыми законными службами, уже работающими на зараженных компьютерах».

Daxin является бэкдором, что означает, что он позволяет злоумышленнику контролировать зараженные программой системы. Инструмент позволяет злоумышленнику читать и записывать файлы, а также запускать процессы и взаимодействовать с ними — небольшое меню функций, но они обеспечивают полный контроль над системой.

Истинная ценность вредоносного ПО для злоумышленников заключается в его способности вставлять сообщения в легитимные сетевые подключения, отслеживая все входящие данные на наличие определенных шаблонов. Как только он обнаружит эти шаблоны, Daxin берет на себя соединение и устанавливает безопасную одноранговую сеть по захваченному сетевому каналу, после чего бэкдор может получать сообщения из сети управления и контроля.

«Daxin поднимает его на несколько ступеней, потому что кажется, что он предназначен для двух конкретных целей», — говорит Тхакур из Symantec. «Он предназначен для использования в долгосрочных стратегических атаках. Для этого он делает вторую вещь, которая заключается в том, чтобы быть как можно более скрытным: он не открывает никаких новых портов, он не говорит с командой -и-контролировать серверы явно в любой момент времени».

Геополитические интересы Китая
Symantec приписала программу злоумышленникам, связанным с Китаем. По косвенным признакам считается, что государственные учреждения, чьи компьютеры были заражены программой, отвечают геополитическим интересам Китая. Однако, если говорить более конкретно, в системах, скомпрометированных с помощью Daxin, также было установлено множество других инструментов и вредоносных программ, связанных с Китаем.

Компания заявила, что материнская компания Symantec, Broadcom, работала с Агентством кибербезопасности и безопасности инфраструктуры, чтобы проинформировать пострадавшие иностранные правительства и помочь им найти и удалить вредоносное ПО.

По словам Тхакура из Symantec, другим компаниям будет сложно найти это вредоносное ПО, поскольку большую часть времени программе удается оставаться незамеченной. В своем бюллетене компания перечисляет ряд индикаторов компрометации, которые компании должны искать в своих сетях.

«Мы мало что можем порекомендовать, кроме стандарта: «Вот несколько подписей с открытым исходным кодом, которые вы можете использовать с помощью YARA или любого другого решения, которое вы используете», — говорит он. «Поскольку этот драйвер находится в чьей-то среде и имеет свой собственный стек, кому-то действительно сложно увидеть и найти его. Когда мы занимались исправлением некоторых жертв, у них были проблемы даже с копированием драйвера из системы».

Такур говорит, что Symantec планирует опубликовать дополнительные рекомендации с дальнейшим анализом угрозы.

https://cyberxhack.org/