Группа анализа угроз Google (TAG) раскрыла масштабную кибершпионскую операцию, которую связывают с Китаем. Жертвами атак стали дипломаты в странах Юго-Восточной Азии. Хакерская группа под названием UNC6384, по данным экспертов, действует в интересах государства и уже известна своими сложными атаками.
Как сообщает Bloomberg, около двух десятков дипломатов были обманом вынуждены загрузить фальшивые обновления программ. За ними скрывался вредоносный код, позволявший злоумышленникам удалённо проникать в их системы.
Хакеры использовали технику «adversary-in-the-middle», перехватывая соединения браузеров при подключении к публичным Wi-Fi. Цели перенаправлялись на установку поддельного пакета STATICPLUGIN, снабжённого подлинным цифровым сертификатом для создания иллюзии доверия. После установки на компьютере тайно запускался инструмент SOGU.SEC, который жил в памяти и практически не оставлял следов, при этом открывая полный удалённый доступ для кибершпионов. Так они могли незаметно воровать документы, управлять устройством и отслеживать действия пользователя.
Google уже приняла меры: заблокировала подозрительные домены, отозвала скомпрометированные сертификаты и уведомила пострадавших. Китайские власти традиционно отвергают обвинения в госспонсируемых кибератаках, но специалисты подчёркивают, что дипломаты — одна из главных целей для сбора разведданных и давления в переговорах.
Недавно Сингапур предупреждал о деятельности другой группы, UNC3886, также связанной с Китаем и нацеленной на критическую инфраструктуру. Новые факты показывают: киберугрозы в регионе стремительно растут, а государствам Юго-Восточной Азии необходимо активнее укреплять киберзащиту и сотрудничать с технологическими гигантами для выявления скрытых атак.