___

Продолжаем наши расследования деятельности крупных хакерских групп, они же APT .В прошлый раз мы обсуждали индийскую APT-C -09 aka Patchwork .А сегодня рассмотрим ее конкретные операции.В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint , Cymmetria , Касперский, CrowdStrike .Каждый дал ей свое название, но мы для определенности возьмем MONSOON.Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой".Масштаб был внушительным – более 110 стран и 6000 конкретных целей.В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры.Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства.Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр.Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях.Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма.Волшебным образом это заявление совпало со спадом активности MONSOON .Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году. Hangover , по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor .Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия.Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай.Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.Еще одной интересной активностью APT-C -09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии.Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки.Ряд признаков указывал на APT-C-09 как на источник атаки.Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве.И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.#APT #APTC09 #Patchwork