Эксперты по безопасности из компании Symantec объявили о новом масштабном взломе, который провела хакерская группировка Thrip, предположительно работающая из Китая.
Мишенью хакеров стали компании-разработчики технологий спутниковых коммуникаций и геопространственной разведки. Также Thrip обрушились на ряд оборонных подрядчиков из США и Юго-Восточной Азии.
Для маскировки атак хакеры использовали метод, известный как «living off the land» (приблизительный перевод идиомы — «чем Бог пошлет») — метод заключается в использовании известных уязвимостей ОС и локального ПО, которые поворачиваются для использования в интересах взломщиков. который заключается в использовании локальных приложений во вредоносных целях.
«Используя данные инструменты, злоумышленники надеются скрыть свою активность среди легитимных процессов [на зараженных устройствах]. Злоумышленников будет крайне сложно вычислить, даже если вредоносная активность будет обнаружена», — отметили исследователи. Определенную поэтику можно найти в выборе названия группы — трипсы это крошечные насекомые, почти назаметные на зеленом листе.
Symantec также отмечают новую тенденцию среди хакеров отказываться от уникального ПО и использования самого распространенного, чтобы их не нашли оперативники. Так, Thrip использовала такие вполне легитимные утилиты как PsExec, Mimikatz, WinSCP и LogMeIn для установки вредоносов Rikamanu (троян), Catchamas (инфостилер), Mycicil (кейлоггер), Spedear (бэкдор) и Syndicasec (троян). Далее с помощью этих программ выкачивалась и похищалась информация.
Помимо этого, хакеры пытались (об успехе Thrip не сообщается) заразить компьютерные системы, которые используются для управления спутниками связи и сбора геопространственных данных.
«Это может говорить о том, что мотивы [группировки] выходят за рамки шпионажа и могут также включать диверсию», — отметили эксперты. Одна из возможных целей хакеров — саботаж работы спутников американских спутников.