Новая китайская хакерская группировка атаковала критические сети в Польше и Азии

Исследователи безопасности из компании TrendAI выявили новую киберпреступную группировку, связанную с Китаем, которая получила обозначение Shadow-Earth-053. По данным экспертов, злоумышленники скомпрометировали более десяти критически важных сетей в Польше, ряде азиатских стран и, вероятно, за их пределами. Активность группы была зафиксирована в декабре 2024 года и продолжается до настоящего времени.

Цели и методы проникновения

Основными целями хакеров стали государственные учреждения, оборонные подрядчики, технологические компании и предприятия транспортной отрасли. В отчете отмечается, что для первичного доступа к внутренним сетям жертв группировка Shadow-Earth-053 чаще всего использует уязвимости в серверах Microsoft Exchange.

В ходе анализа нескольких инцидентов выяснилось, что взломщики находились в сетях организаций до восьми месяцев, прежде чем развернуть ShadowPad — специализированный бэкдор (программа для скрытого удаленного управления), который уже почти десять лет используется китайскими правительственными хакерами.

Особенности деятельности Shadow-Earth-053 включают:

• Эксплуатацию цепочки уязвимостей ProxyLogon, позволяющей удаленно запускать произвольный код.
• Использование легитимных инструментов, таких как AnyDesk, для доставки вредоносного ПО.
• Установку веб-шеллов (скриптов для управления сервером через браузер), в частности популярного среди китайских групп инструмента Godzilla.
• Применение бэкдора NoodleRat для систем под управлением Linux.

Связь с кампаниями «Тайфун»

Вице-президент TrendAI по безопасности Том Келлерман сравнил действия новой группы с известными кампаниями Salt Typhoon и Volt Typhoon. Если предыдущие группировки годами скрытно работали в телекоммуникационных и энергетических сетях США, то Shadow-Earth-053 сосредоточена на оборонном секторе стран, поддерживающих независимость Тайваня или являющихся союзниками США.

В обзоре подчеркивается, что хакеры могут оставлять в сетях командно-контрольные центры (C2) в «спящем» режиме. Это позволяет им сохранять доступ в течение долгого времени и активироваться только в моменты геополитической напряженности. Эксперты предполагают, что злоумышленники уже могли внедрить в системы вайперы — вредоносное ПО, предназначенное для безвозвратного уничтожения данных и вывода оборудования из строя.

География атак и задачи саботажа

Расследование показало, что жертвами группировки стали организации как минимум в восьми странах. Помимо Польши, которая является членом НАТО, атаки зафиксированы в следующих регионах:

• Тайвань
• Таиланд
• Малайзия
• Индия
• Пакистан
• Мьянма
• Шри-Ланка

По словам аналитиков, атака на оборонный сектор Польши наглядно демонстрирует масштабы современной кибервойны. Специалисты считают, что целью подобных операций является не только шпионаж, но и долгосрочная подготовка к диверсиям. Хакеры планомерно «колонизируют» инфраструктуру, чтобы иметь возможность парализовать работу важных объектов в случае необходимости.

Методы маскировки

Для обхода систем защиты Shadow-Earth-053 использует сложные методы маскировки. В частности, применяется утилита RingQ с открытым исходным кодом, которая упаковывает вредоносные файлы таким образом, чтобы антивирусные решения не могли их обнаружить. Также хакеры часто переименовывают системные файлы Windows, придавая вредоносным процессам вид легитимных служб, и регистрируют доменные имена, имитирующие названия известных ИТ-компаний или протоколов безопасности.