Обнаружена китайская шпионская киберсеть. Возможно, это учебный проект

Более 350 организаций в 40 странах мира охватила китайская шпионская киберсеть. Об этом сообщает «Лаборатория Касперского». Слежение за компьютерами производилось с помощью вредоносной программы NetTraveler.

Используя это ПО, злоумышленники могут отслеживать процесс нажатия клавиш на ПК и копировать текстовые файлы, а также данные систем автоматизированного проектирования.

Специалисты «Лаборатории Касперского» смогли проникнуть на несколько командно-контрольных серверов NetTraveler. Оказалось, что в акции участвовали около 50 человек, наиболее вероятная родина которых — Китай.

Согласно отчёту специалистов, большая часть организаций, пострадавших от шпионской сети, относится к госсектору — это государственные (19%), дипломатические (32%) и военные (9%) учреждения. Также авторы исследования выделяют научные организации, занимающиеся ключевыми исследованиями в области аэрокосмоса, нанотехнологий, ядерной физики, медицины. Кроме того, внимание злоумышленников привлекли компании, работающие в нефтегазовом секторе и телекоме. Не избежали проникновения и компьютеры тибетских и уйгурских оппозиционеров в Китае. Наибольшее число жертв противоправной деятельности хакеров находится в России, Монголии и Индии.

Заражение ПК происходит с помощью рассылки фишинговых писем, содержащих вредоносные вложения, которые используют уязвимости в MS Office. Корпорация Microsoft уже выпустила соответствующую «заплатку».

Отметим: наиболее ранние версии NetTraveler относятся к 2005 году, однако большая часть заражённых файлов относится к 2010-2013 гг.

Однако, несмотря на поднятый шум, в комментарии, данном «Однако» руководителем аналитического центра Zecurion Analytics Владимиром Ульяновым звучит мысль о том, что данная акция может быть учебной, и уж, во всяком случае, массовой её назвать нельзя:

 — Ясности, для чего создавалась эта киберсеть, пока нет.

У меня есть предположение, что это один из учебных проектов, на котором хакеры оттачивают своё мастерство. Функционал его достаточно стандартный, то есть это кейлогер и какой-то механизм скрытой передачи данных. Ничего такого экстравагантного тут нет.

Размах у меня вопросов не вызывает, он как раз невелик. Выбор целей, который так насторожил всех, тоже понятен. А то количество компьютеров, которое они заразили за несколько лет, близко к точечному изменению. Понятно, что специалисты «ЛК» могли выявить не все заражённые машины, но, тем не менее, объём похищенной информации — порядка 20 ГБ (и хоть и ясно, что это не кино, а какие-то рабочие документы) — всё равно, за несколько лет маловат.

Тем не менее, тут есть о чём подумать. В последние годы очень много говорят о том, что «растёт китайская угроза», и эта страна, безусловно, наращивает свою экспертизу в области кибервооружений. В Пентагоне каждые полгода практически обязательно выступают с каким-нибудь докладом, где говорится, что растёт численность китайских правительственных хакеров и повышается их уровень.

Безусловно, несмотря на некоторый параноидальный характер этих докладов, угроза с Востока всё же есть. Одновременно нагнетается некоторая напряжённость в обществе, начинается некоторая массовая истерия. Она развязывает руки тому же американскому правительству в части наращивания своих кибер- и прочих вооружений. Несколько лет назад американцы заявили, что они оставляют за собой право отвечать на кибератаки (что само по себе является достаточно широким термином) применением реальной военной силы.

Тут возникает довольно скользкая ситуация. Хакера далеко не всегда можно привязать к какому-то отдельному географическому месту или стране. Опытные хакеры достаточно ловко свои следы заметают и оставляют ложные улики. Соответственно, реально он может находиться где угодно и чьи угодно интересы преследовать. Более того, тут открывается широкое поле для провокаций. Например, ложный след кибератаки ведёт в Сирию. Американцы это видят, и давай бомбить несчастную страну