Шпионская кампания Naikon: более десяти стран пребывают в киберосаде уже 5 лет

«Лаборатория Касперского» обнародовала результаты анализа одной из самых активных кампаний кибершпионажа в Юго-Восточной Азии: от действий группировки Naikon уже на протяжении пяти лет страдают более десяти стран.

John Fedele/Blend Images/Corbis

Сообщается, что кибератаки нацелены на государственные, военные и общественные организации в Малайзии, Камбодже, Индонезии, Вьетнаме, Мьянме, Сингапуре, Непале, Таиланде, Лаосе, Китае и на Филиппинах. Злоумышленники, владеющие, по всей видимости, китайским языком, выстраивают всю необходимую для кибернападений инфраструктуру непосредственно на территории страны-жертвы — это позволяет им в режиме реального времени подключаться к сетям атакуемых организаций и извлекать интересующую их информацию.

Нападение обычно начинается с отправки письма с вложением, которое может заинтересовать потенциальную жертву. Такой файл может содержать сведения из открытых источников или конфиденциальную информацию, украденную из других взломанных систем. Вложение-приманка выглядит как документ Word, но на самом деле представляет собой исполняемый файл с двойным расширением. При попытке открытия этот файл, используя уязвимости, устанавливает на компьютер жертвы шпионское ПО и одновременно выводит на экран некий текст, так что обманутый пользователь думает, что открыл обычный документ.

Создатели Naikon используют 48 команд для различных удалённых операций, в том числе на проверку данных, находящихся в атакуемой корпоративной сети, выгрузку и загрузку файлов, установку дополнительных модулей.

В целом, как отмечается, киберпреступники сумели создать очень гибкую инфраструктуру, которая может быть легко развёрнута в любой интересующей их стране и позволяет перенаправлять информацию из систем жертв на указанный сервер. Не исключено, что в перспективе подобные кампании шпионажа будут организованы и за пределами Юго-Восточной Азии.