Новый отчет от BlackBerry под названием «Десятилетие RAT: кроссплатформенные шпионские атаки, нацеленные на Linux, Windows и Android» (BlackBerry titled Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android), предлагает более детальное изучение того, как пять китайских групп Advanced Persistent Threat (APT) нацелены на Linux, Windows, и Android.
Как часть отчета, BlackBerry отмечает, что группы работают уже почти десять лет, оставаясь в основном незамеченными при ведении экономического шпионажа, ориентированного на интеллектуальную собственность, а продолжающиеся атаки используют преимущества роста операций на дому из-за вспышки COVID-19.
Десятилетие RAT: кроссплатформенные шпионские атаки APT на Linux, Windows и Android
Основные выводы в отчете включают в себя:
Группы APT, рассмотренные в этом отчете, вероятно, состоят из гражданских подрядчиков, работающих в интересах правительства Китая, которые с готовностью обмениваются инструментами, методами, инфраструктурой и делятся информацией друг с другом и своими правительственными коллегами.
Группы APT традиционно преследовали разные цели и фокусировались на широком спектре задач; однако было отмечено, что между этими группами существует значительная степень координации, особенно в том, что касается таргетирования платформ Linux.
В исследовании выявляются два новых примера вредоносных программ для Android, продолжая тенденцию, отмеченную в предыдущем отчете исследователей BlackBerry под названием «Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform», в котором изучалось, как группы APT используют мобильное вредоносное ПО в сочетании с традиционным вредоносным ПО в текущих кроссплатформенных слежках и шпионских кампаниях.
Один из примеров вредоносных программ для Android очень похож на код в коммерчески доступном инструменте для тестирования на проникновение, однако показано, что вредоносное ПО было создано почти за два года до того, как коммерческий инструмент стал впервые доступен для покупки.
В отчете рассматриваются несколько новых вариантов известных вредоносных программ, которые получают доступ с помощью сертификатов подписи кода для рекламного ПО. Эта тактика, которая, как надеются злоумышленники, повысит уровень заражения, поскольку воспринимается, как очередной всплеск потока рекламных объявлений.
В исследовании также подчеркивается сдвиг со стороны вщлома в сторону использования поставщиков облачных услуг и обмена данными с фильтрацией данных, которые представляются доверенным сетевым трафиком.
«Это исследование рисует картину шпионской деятельности, направленной на саму основу сетевой инфраструктуры крупных организаций, которая является более системной, чем это было ранее признано», — говорит Джон Мак Клург, директор по информационной безопасности BlackBerry. «Этот отчет открывает еще одну главу в истории кражи интеллектуальной собственности в Китае, предоставляя нам новые уроки».