НАЗАД К НОВОСТЯМ
Срочные новости

Google пресекает деятельность UNC2814: китайская шпионская кампания атаковала телеком и госструктуры

2 мин чтенияИсточник: SecurityWeek

Команда Google TAG остановила масштабную кибершпионскую операцию, связанную с китайской группировкой UNC2814. Атаки затронули телекоммуникации, госорганы и критически важную инфраструктуру в 42 странах.

Google прерывает крупную китайскую кибершпионскую операцию

Команда Threat Analysis Group (TAG) компании Google успешно пресекла долгосрочную кибершпионскую кампанию, приписываемую угрозе UNC2814, которая предположительно связана с Китаем. Группа действовала как минимум с 2017 года, атакуя провайдеров телекоммуникационных услуг, государственные учреждения и критически важную инфраструктуру в 42 странах.

Технические детали кампании

Хотя Google не раскрыла полный перечень индикаторов компрометации (IOC), операция соответствует ранее задокументированным тактикам китайских государственных кибершпионских групп. Предполагается, что UNC2814 использовала следующие методы:

  • Фишинговые письма с целевыми атаками (spear-phishing) с вредоносными вложениями или ссылками
  • Эксплойты нулевого дня (zero-day exploits) в широко используемом программном обеспечении
  • Атаки на цепочку поставок (supply chain attacks) для компрометации доверенных поставщиков
  • Техники «жить за счёт земли» (Living-off-the-land, LotL) для уклонения от обнаружения

Инфраструктура группы, как отмечается, использовала провайдеров «пуленепробиваемого» хостинга (bulletproof hosting) и техники быстрого изменения DNS (fast-flux DNS), чтобы обеспечить устойчивость и избежать блокировок.

Масштаб и цели атаки

Основными целями кампании, по всей видимости, были сбор разведданных и долгосрочное наблюдение, с акцентом на:

  • Телекоммуникационные компании (вероятно, для перехвата данных звонков или картографирования сетей)
  • Государственные учреждения (дипломатические, оборонные и экономические секторы)
  • Критически важную инфраструктуру (энергетика, транспорт и финансовые услуги)

Усилия Google по пресечению деятельности группы включали перенаправление трафика командных серверов (C2) в «ловушки» (sinkholing) и сотрудничество с партнёрами отрасли для нейтрализации угрозы. Однако, учитывая историю группы, эксперты по кибербезопасности ожидают продолжения активности с использованием усовершенствованных тактик.

Рекомендации для организаций

Командам безопасности, особенно в секторах повышенного риска, следует:

  • Усилить защиту от фишинга (многофакторная аутентификация, фильтрация электронной почты и обучение сотрудников)
  • Мониторить необычное перемещение по сети (lateral movement) и эскалацию привилегий
  • Оперативно устранять известные уязвимости, уделяя первоочередное внимание эксплойтам нулевого дня
  • Внедрять сегментацию сети, чтобы ограничить потенциальные последствия взломов
  • Проверять безопасность цепочки поставок, чтобы предотвратить компрометацию через третьих лиц

Команда Google TAG продолжает отслеживать деятельность UNC2814 и призывает организации сообщать о любой подозрительной активности, связанной с этой угрозой. Дополнительные технические детали могут быть опубликованы по мере продвижения расследования.

Поделиться

TwitterLinkedIn