Microsoft заявляет, что китайская хакерская команда нацелена на Тайвань

КЭй Джей Висенс

24 августа 2023 г.

Исследователи Microsoft заявили в четверг, что хакерская группа, предположительно связанная с правительством Китая, активно атакует десятки организаций на Тайване в рамках кампании кибершпионажа.

«Льняной тайфун» — название, которое Microsoft использует для описания группы, базирующейся в Китае, — работает над получением и поддержанием долгосрочного доступа преимущественно к тайваньским организациям, хотя некоторые жертвы были замечены в Юго-Восточной Азии, Северной Америке и Африке, говорится в сообщении компании. сообщение в блоге в четверг. Целями группы являются государственные учреждения, производственные фирмы и технологические компании.

Эта новость появилась сразу после одобрения администрацией Байдена пакета вооружений Тайваню на 500 миллионов долларов и нового раунда китайских военных учений вблизи острова. Три месяца назад Microsoft и коалиция спецслужб обнаружили, что хакеры, связанные с Китаем, атаковали телекоммуникационные системы на Гуаме в рамках операции, которая, возможно, заложила основу для прекращения связи между Соединенными Штатами и их военными объектами в Восточной Азии.

В отчете Microsoft, опубликованном в четверг, описывается довольно скрытный субъект, который использует минимальное количество вредоносного ПО в своих операциях и вместо этого полагается на инструменты, уже имеющиеся в системах жертвы, «наряду с некоторым обычно безвредным программным обеспечением». Исследователи Microsoft не заметили, чтобы группа использовала свой доступ к тайваньским системам для проведения дополнительных операций, но отметили, что группа использует «методы, которые можно легко повторно использовать в других операциях за пределами региона и которые выиграют от более широкой видимости в отрасли».

«Хотя наша видимость этих угроз дала нам возможность развертывать средства обнаружения для наших клиентов, отсутствие прозрачности других частей деятельности злоумышленников вынудило нас привлечь более широкую осведомленность сообщества к дальнейшим расследованиям и защите во всей экосистеме безопасности», — заявила компания. сообщил в своем блоге.

Исследователи отметили, что Flax Typhoon активен с середины 2021 года и, как известно, использует веб-оболочку China Chopper, которая также использовалась Hafnium, поддерживаемой государством китайской хакерской группой, которая успешно использовала несколько ошибок нулевого дня в Microsoft Exchange. Серверное программное обеспечение как часть шпионской кампании, раскрытой в марте 2021 года. Позже в том же году ФБР взломало серверы жертв, чтобы удалить вредоносное ПО Hafnium.

Flax Typhoon также наблюдался с использованием Metasploit, популярной среды тестирования на проникновение; инструмент повышения привилегий Juicy Potato; Mimikatz, инструмент для кражи данных; и клиент виртуальной частной сети (VPN) SoftEther, по данным Microsoft.