Кибератака, предпринятая Агентством национальной безопасности США (АНБ) против Северо-Западного политехнического университета в провинции Шэньси в Китае, хорошо известного своими авиационными, аэрокосмическими и навигационными исследованиями, была направлена на проникновение и получение контроля над основным оборудованием в инфраструктуре Китая, а также кражу личных конфиденциальных данных китайцев, сообщает 27 сентября газета Global Times.

Кибератака
Кибератака
Pixabay.com

22 июня Северо-Западный политехнический университет объявил, что хакеры из-за рубежа были пойманы за отправкой фишинговых писем с троянскими программами преподавателям и студентам университета, пытаясь украсть их данные и личную информацию. Чтобы расследовать атаку, Национальный центр экстренного реагирования на компьютерные вирусы Китая и компания по интернет-безопасности 360 совместно сформировали техническую группу для проведения всестороннего технического анализа случая.

Извлекая множество образцов троянов из интернет-терминалов Северо-Западного политехнического университета при поддержке европейских и южноазиатских партнеров, техническая команда объявила 5 сентября, что они определили, что кибератака была проведена Специализированными операциями доступа (TAO) (Код S32) под управлением Бюро разведки данных (Код S3) Информационного отдела АНБ США.

Более глубокий анализ, проведенный Национальным центром реагирования на чрезвычайные ситуации с компьютерными вирусами Китая и пекинской лабораторией Qi An Pangu lab, показал, что кибернетическое оружие, известное как «чаепитие», является одним из наиболее прямых виновников кражи больших объемов конфиденциальных данных.

«Чаепитие» может не только красть учетные записи и пароли для удаленной передачи файлов, но и очень умело маскироваться и адаптироваться к новой среде. После внедрения в целевой сервер и оборудование «чаепитие» будет маскироваться под обычный фоновый процесс обслуживания и поэтапно отправлять вредоносные загрузки, что очень затруднит его поиск.

Источник сообщил Global Times, что дальнейшее расследование дела выявило 13 злоумышленников, что доказало, что TAO в течение длительного времени тайно контролировала сервер управления эксплуатацией и техническим обслуживанием университета. В то же время TAO заменила исходные системные файлы и стерла системные журналы, чтобы устранить следы и избежать отслеживания.

Согласно характеристикам атаки TAO, таким как скрытые ссылки, инструменты проникновения и образцы троянов, китайские эксперты по кибербезопасности обнаружили, что TAO проникла в основную сеть передачи данных китайских операторов инфраструктуры и контролировала ее.

Более того, TAO вошел в сеть инфраструктурных операторов Китая с «законной» идентификацией через учетную запись и пароль Cisco PIX firewall, Tianrongxin firewall и других устройств. Контролируя систему мониторинга и серверы сообщений операторов инфраструктуры, TAO могла получить доступ к информации китайцев с конфиденциальными идентификационными данными, а затем упаковать и зашифровать их информацию и отправить ее обратно в штаб-квартиру АНБ через многоуровневые трамплины.

Согласно анализу больших данных о связанных кибератаках, 98% атак были проведены между 21:00 и 4:00 (по пекинскому времени).