Согласно исследованию аналитика по кибербезопасности Cluster25, появление в последние недели хакерской группы Naikon (Lotus Panda) является очередным доказательством консолидации цифровых сил Китая против Запада.
Предположительно возникшая в Китае в 2010 году группа кибершпионов сосредоточила свое внимание на странах Таиланд, Малайзия и Сингапур. По данным Cluster25, команда Naikon стала известна в после обнаружения её вредоносной программы в 2015 году и ареста одного из ключевых участников. Два года назад была обнаружена деятельность группы против Австралии и азиатских стран, включая Индонезию и Филиппины.
По предположениям эксперта Cluster25, Naikon шпионит за правительственными учреждениями и государственными предприятиями в странах Юго-Восточной Азии. Целевые организации занимаются наукой, технологиями и иностранными делами.
«Наблюдая за хакерским арсеналом Naikon, был сделан вывод о способности команды проводить долгосрочный шпионаж с целью проведения атак на иностранные правительства и должностных лиц», — говорится в сообщении. «Чтобы избежать обнаружения и максимизировать результат, группа со временем изменила тактику, методы и процедуры (tactics, techniques and procedures, TTPs) и инструменты», — добавил исследователь.
В прошлом году на почту целевых организаций были отправлены фишинговые электронные письма, запустившие код оболочки для захвата компьютера жертвы.
«Цель этой атаки в настоящее время неизвестна, но с высокой вероятностью, учитывая предыдущую историю нападения группы, это может быть правительственное учреждение из страны Южной Азии», — говорится в сообщении аналитика.
Электронное письмо-приманка было написано на китайском языке в виде ответа на организацию тендера на закупку защитного оборудования брандмауэра. Naikon также использовал программные средства Viper и Asset Reconnaissance Lighthouse (ARL) с открытым исходным кодом, разработанные предположительно китайским программистом. Такой вывод сделан, учитывая китайский язык вспомогательной документации.
«Viper превращает в оружие тактику и технологии, используемые в процессе проникновения в интранет», — сказал Cluster25. «Инструмент ARL помогает группам безопасности и пентестерам в разведке и поиске активов, обнаружении существующих слабых мест и поверхностей атаки», — добавил эксперт.
Инструменты могут использоваться для создания полезных нагрузок и сбора информации с помощью цифрового отпечатка (website fingerprint).
Также недавно была выявлена новая китайская кибершпионская группировка Moshen Dragon после атаки телеком-провайдеров.