Хакерская группировка OceanLotus (также известная как APT32), предположительно связанная с вьетнамским правительством, взломала более 100 сайтов, включая официальный web-сайт президента Филиппин Родриго Дутерте (Rodrigo Duterte).
Об этом сообщили исследователи безопасности из компании Volexity.
По словам исследователей, группировке удалось скомпрометировать сайты организаций и частных лиц, связанных с правительством, армией, защитой прав человека, развитием гражданского общества, государственной разведкой нефти и средствами массовой информации в ряде стран Азии, для последующего осуществления кибератак. В числе взломанных организаций оказались Ассоциация государств Юго-Восточной Азии (АСЕАН) и связанные с ней сайты, несколько министерств в Камбодже и Лаосе, китайская компания BDStar, China National United Oil Corporation и другие нефтегазовые компании, а также официальный сайт Вооруженных сил Филиппин.
Как заявили эксперты, группировка успешно действовала по меньшей мере с конца 2016 года, оставаясь при этом незамеченной. Масштаб проделанной OceanLotus работы можно сравнить разве что с деятельностью российской хакерской группировки Turla, отметили они.
Целью хакеров стали сайты стратегического значения, особенно те, чьи посетители могут представлять интерес для OceanLotus. Группировка внедряла вредоносный код JavaScript наряду с одним или несколькими бэкдорами для сохранения присутствия на ресурсе.
Вредоносный код использовался для отправки HTTP- и HTTPS-запросов на домены злоумышленников и загрузки одного из двух вредоносных фреймворков. Данные фреймоврки были специально разработаны для отслеживания и сбора информации о посетителях скомпрометированных web-сайтов.
Для интересующих хакеров пользователей при посещении сайта раз в 24 часа отображалось всплывающее окно, которое при нажатии на него перенаправляло посетителя на страницу в Google для авторизации по протоколу OAuth в одном из приложений OceanLotus, предоставляя хакерам разрешение на доступ к электронной почте и контактам.
Некоторые скомпрометированные сайты также использовались для установки бэкдоров на целевые системы. Ранее группа распространяла вредоносное ПО через фальшивые обновления для Chrome, Firefox и Internet Explorer.
По словам исследователей, OceanLotus удалось скомпрометировать ресурсы с помощью учетных данных для систем управления контентом (CMS) либо устаревших плагинов или компонентов CMS, однако до сих пор неясно, как им удалось получить эти учетные данные.
Большинство взломанных группировкой сайтов принадлежит организациям и частным лицам из Вьетнама. В частности, эксперты выделяют сайты организаций по защите прав человека и ресурсы оппозиционных групп. Остальные сайты принадлежат организациям, расположенным в странах, граничащих с Вьетнамом или Филиппинами.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
