Китайские кибершпионы атаковали сербское авиационное агентство, а также ряд государственных и европейских учреждений. Источник: The Record
По данным экспертов, кибершпионажная кампания, предположительно связанная с Китаем, началась в конце сентября и была направлена против сербского государственного департамента, курирующего авиацию. Позже следы аналогичной активности были обнаружены в Венгрии, Бельгии, Италии и Нидерландах.
Хакеры рассылали фишинговые письма, содержащие вредоносные ссылки. Пользователи, переходившие по ним, попадали на поддельные страницы верификации Cloudflare — это позволяло злоумышленникам замаскировать вредоносные сайты под легитимные и загрузить на устройства жертв вредоносное программное обеспечение.
В атаках использовались поддельные документы, связанные с деятельностью европейских структур, среди которых были учебный план Национальной академии государственного управления Сербии, повестка заседания Европейской комиссии и приглашение на саммит Европейского политического сообщества.
Специалисты StrikeReady установили, что хакеры применяли вредоносные программы семейств Sogu, PlugX и Korplug, которые на протяжении многих лет ассоциируются с китайскими государственными киберструктурами. Хотя исследователи не назвали конкретную группировку, они считают, что атака была частью операций, проводимых в координации с Пекином.
Аналогичные инструменты уже применялись в других китайских шпионских кампаниях. Так, в августе исследователи Google выявили деятельность группировки UNC6384, нацеленной на дипломатов в Юго-Восточной Азии, где также использовались вредоносные программы Sogu и PlugX.
Напомним, китайский кибершпионаж выходит из-под контроля.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet