Symantec рассказала об элитной группе наемных хакеров

Корпорация Symantec раскрыла информацию о работе элитной группы наемных хакеров, которые совершили, по крайней мере, 6 атак за последние три года, в том числе на подрядчиков Минобороны США. Как рассказали CNews в компании, группу отличает организованность и применение технически совершенных приемов для осуществления атак одновременно на множество организаций по всему миру. Эксперты предполагают, что хакерская группа насчитывает не менее 50-100 профессионалов высокого уровня и базируется в Китае.

Эксперты Symantec назвали их Hidden Lynx — из-за строчки, которая была обнаружена в коммуникации между вредоносной программой и ее сервером управления. «Эта группа своим рвением превосходит все другие известные хакерские группировки, такие как, например, APT1/Comment Crew. Среди ее ключевых особенностей — техническое совершенство, адаптивность, организованность, изобретательность, терпеливость», — отметили в компании.

Злоумышленники продемонстрировали эти качества в ходе атак, осуществляемых одновременно на множество целей на протяжении длительного времени. Именно эта группа первой начала применять атаки типа watering hole в качестве способа приманки целей, и именно они раньше других получают доступ к уязвимостям нулевого дня, убеждены в Symantec. При этом целями атак этой группировки оказываются одновременно множество организаций по всему миру. Учитывая разнообразие и число целей, а также стран, в которых осуществляются атаки, эксперты Symantec заключили, что речь, скорее всего, идет о профессиональной группе хакеров, которые занимаются кражей информации на заказ. Именно наемным характером их деятельности объясняется такое разнообразие целей, полагают в компании.

Кроме того, специалисты считают, что для осуществления атак такого масштаба группа должна состоять из профессионалов высокого уровня и насчитывать не менее 50100 сотрудников, организованных как минимум в две отдельные команды, каждая из которых реализует свои собственные задачи, используя свой особый набор инструментов и приемов. Реализация такого рода атак требует времени и усилий, и иногда успешное осуществление атаки без предварительного изучения и сбора информации просто невозможно.

На линии фронта в этой группировке находится команда, применяющая доступные инструменты и простые, но, в то же время, эффективные методы для атаки множества различных целей. Возможно, они также занимаются сбором сведений. Эксперты Symantec назвали их «команда Moudoor». «Moudoor — это троян типа бэкдор, который они используют, не заботясь о том, что могут быть обнаружены системами безопасности», — пояснили в компании. Вторая команда выступает в качестве оперативного отряда — элитные профессионалы, занимающиеся взломом самых ценных или самых трудных целей. Эта команда применяет вирус Naid, и поэтому в Symantec их назвали «команда Naid». «В отличие от Moudoor, троян Naid используется с осторожностью, чтобы избежать обнаружения, как секретное оружие в случае, когда провал недопустим», — отметили в Symantec.


Основная информация о хакерской группе Hidden Lynx, представленная Symantec

Начиная с 2011 г. эксперты Symantec были свидетелями, по меньшей мере, шести атак, осуществленных этой группой. Самой примечательной стала атака VOHO в июне 2012 г. Наиболее интересным в этой атаке было применение техники watering hole, а также заражение инфраструктуры Bit9 по подписи безопасных файлов. «Целями атаки VOHO были компании-подрядчики министерства обороны США, чьи системы были защищены программным обеспечением Bit9. Столкнувшись с таким препятствием, участники Hidden Lynx взвесили все возможности и решили, что лучший способ обойти защиту — проникнуть в самое сердце этой системы и использовать ее в своих целях. Именно так они и поступили, — рассказали в Symantec. — Осуществив взлом, злоумышленники быстро проникли в систему подписи файлов, которая лежала в основе защиты Bit9, и с ее помощью подписали ряд вредоносных файлов, а затем использовали их для атаки на конечную цель».