APT-группировка, члены которой говорят на китайском, шпионит за военными ведомствами, правительственными и общественными организациями в районе Южно-Китайского моря, в котором в последнее время все чаще разгораются территориальные споры.
Naikon также известна по именем APT-30. Согласно свежему отчету команды GReAT «Лаборатории Касперского», APT-кампания охватила такие страны, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам, Мьянма, Сингапур и Непал.
Как и многие другие APT-кампании, для первоначального заражения атакуемых сетей Naikon использует метод целевого фишинга. Вредоносные исполняемые файлы, заражающие компьютер жертвы, преступники маскируют под рабочие документы, имеющие весьма правдоподобные названия. Как только пользователь открывает подобное вложение, поддельный документ отвлекает внимание жертвы, в то время как на заднем плане исполняемый файл скрытно устанавливает зловреда на ПК жертвы, используя одну из давно известных уязвимостей Microsoft Office.
Целых пять лет кибершпионы наводили мосты со всеми странами, попавшими под прицел. Изучив некоторые культурные особенности этих государств, участники Naikon активно используют полученные знания: например, в некоторых странах кибершпионы используют в своих целях привычку полагаться на личные электронные адреса, когда ведется деловая или секретная переписка. Благодаря этому злоумышленники сумели создать email-адреса, похожие на легитимные, что и обеспечило высокую эффективность фишинговой кампании.
Группировка размещает свои командные серверы в целевых странах, обеспечивая тем самым более надежный контроль над зараженными компьютерами и кражей данных в режиме реального времени. Злоумышленники могут перехватывать трафик в сети, связывающей целевые организации.
Кроме того, они способны использовать в удаленном режиме 48 команд, позволяющих, к примеру, просматривать все системные файлы на инфицированных машинах, загружать и выгружать данные, устанавливать дополнительные модули и работать с командной строкой на целевых системах. Таким образом, группировка способна полностью перехватить контроль над любым компьютером, инфицированным в ходе атаки Naikon. Главной целью кампании Naikon является сбор геополитических данных.
«Хакеры, стоящие за атакой Naikon, сформировали эффективную инфраструктуру, которую они способны развернуть в любой стране. С ее помощью информация, хранящаяся на скомпрометированном компьютере, напрямую доставляется в командный центр, — объясняет главный исследователь информационной безопасности Курт Баумгартнер. — Если вдруг злоумышленников заинтересует любая другая страна, им просто нужно будет установить связь с целью атаки. Наличие «специальных агентов», курирующих определенные цели, значительно облегчает жизнь этой кибершпионской группировке».
В одной из стран, хакеры группировки Naikon смогли скомпрометировать компьютеры в администрации президента, штабе вооруженных сил, офисе главы кабинета министров, а также в совете национальной безопасности, администрации заместителя министра юстиции, штабе национальной разведывательной службы, управлении гражданской авиации, министерстве юстиции, федеральной полиции и аппарате управления делами президента.
Для того, чтобы защита данных от киберкампаний осуществлялась на высшем уровне, эксперты рекомендуют пользователям не открывать вложения от незнакомых отправителей, использовать передовые антивирусные продукты и своевременно обновлять операционную систему.
