___

Исследователи из ESET вскрыли впечатляющую по масштабам "атаку на цепочку поставок", нацеленную в итоге на правительственные организации Монголии. Кибероперацию словаки назвали StealthyTrident, а длилась она, по их данным, как минимум с середины 2018 года по осень 2020. В Монголии есть бизнес-платформа, которая называется Able. В ее состав входит приложение для чата Able Desktop, которое, как указывается на сайте производителя, используется 430 государственными монгольскими учреждениями. ESET обнаружили, что легальное приложение Able Desktop загружает и устанавливает на машину пользователя бэкдор HyperBro, который является авторским и принадлежит китайской APT LuckyMouse aka APT 27 aka Emissary Panda. Кроме того, Able Desktop использовался для доставки трояна удаленного доступа (RAT) Tmanger, который приписывался китайской же APT TA428. Правда для этого использовалось не само приложение, а механизм его обновления. Проведя анализ, исследователи пришли к выводу, что был скомпрометирован один или несколько серверов обновлений Able Desktop, их пара десятков и некоторые из них установлены в сторонних организациях. И как будто бы этого мало, обнаружились еще две разных версии зараженного установщика Able Desktop, одна из которых содержала в себе HyperBro, а другая - еще один известный и популярный RAT PlugX. Получается, что в течение 2-х лет китайцы активно шпионили за монгольскими чиновниками через их корпоративный мессенджер, разработчика которого они на каком-то этапе смогли скомпрометировать. Остается добавить, что, LuckyMouse и TA428, вероятно, являются либо одной хакерской группой, работающей на Китай, либо ее подразделениями. Наше же мнение такое - если государство пытается пересадить свои учреждения и госкомпании на использование конкретного ПО, то оно, в первую очередь, должно сосредоточить все возможные усилия на предотвращении атак на цепочки поставок. Иначе компрометация одного лишь "блатного" разработчика приводит к глобальному звиздецу.