Специалисты по кибербезопасности компании Positive Technologies установили, что действующая с 2016 года с территории Китая группа хакеров Calypso APT провела атаку на государственные учреждения шести государств – Индии, России, Казахстана, Турции, Бразилии и Таиланда.
Все они строятся по примерно одинаковой схеме. Вначале хакеры взламывают периметр системы различных правительственных учреждений, после чего пускают в ход вредоносное ПО и утилиты, открывающие доступ к защищенным внутренним ресурсам. Попав внутрь, хакеры получают возможность перемещаться по системе одним из двух способов: либо через найденные уязвимости посредством удаленного выполнения кода, либо используя украденные учетные данные.
Благодаря такой тактике, группа смогла нанести ущерб правительственным организациям в каждой из пострадавших стран. В своей деятельности хакеры Calypso APT широко используют общедоступные эксплоиты и утилиты, такие как SysInternals, Mimikatz, EternalBlue и EternalRomance.
Специалисты Positive Technologies склонны считать, что злоумышленники проводят атаки с территории Китая. На это косвенно указывает использование ими мэлвера PlugX – излюбленного инструмента китайских хакеров, а также трояна Byeby. Помимо этого, несколько использованных в атаках IP-адресов связаны с китайскими интернет-провайдерами.
