Компании по кибербезопасности, поддерживаемые китайскими властями, были обвинены в краже паролей и имен пользователей из неназванных австралийских сетей в 2022 году, сообщил во вторник Австралийский центр кибербезопасности (ACSC).
В расследовании против поддерживаемой CCP хакерской группировки под названием APT40 участвовали Австралийский центр кибербезопасности, Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (NSA), Федеральное бюро расследований США (ФБР), Национальный центр кибербезопасности Соединенного Королевства (NCSC-Великобритания), Канадский центр кибербезопасности (CCCS), Новозеландский национальный центр кибербезопасности (NCSC-NZ), Федеральная разведывательная служба Германии (BND) и Федеральное ведомство по защите Конституции (BfV), Национальная разведывательная служба Республики Корея (NIIS) и NIS- Национальный центр кибербезопасности, японский национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) и Национальное полицейское агентство (NPA), называя их агентствами-разработчиками.
ACSA утверждало, что APT40 провел несколько операций по кибербезопасности для Министерства государственной безопасности КНР (MSS).
ACSA также заявило, что "деятельность и методы совпадают с действиями групп, отслеживаемых как Advanced Persistent Threat (APT) 40", ссылаясь на материалы ведущих агентств кибербезопасности из США, Великобритании, Канады, Новой Зеландии, Японии, Южной Кореи и Германии.
Согласно разделу "Краткое описание деятельности" отчета ACSA, APT40 неоднократно атаковала австралийские сети, а также сети государственного и частного секторов в регионе, и угроза, которую они представляют для наших сетей, сохраняется.
В отношении австралийских сетей регулярно применяются методы, описанные в этом руководстве. Кроме того, APT40 обладает способностью быстро преобразовывать и адаптировать методы проверки работоспособности (POC) новых уязвимостей и немедленно использовать их против целевых сетей, обладающих инфраструктурой соответствующей уязвимости.
APT40 регулярно проводит разведку в отношении представляющих интерес сетей, включая сети в странах, где находятся агентства-разработчики, в поисках возможностей скомпрометировать свои цели. В том же отчете также утверждается, что хакерская группа также предпочитает использовать уязвимую общедоступную инфраструктуру, используя методы, требующие взаимодействия с пользователем, и уделяет первостепенное внимание получению действительных учетных данных для выполнения ряда последующих действий с использованием веб-оболочек.
В отчете ACSC о расследовании утверждается, что в августе 2022 года подтвержденный вредоносный IP-адрес, предположительно связанный с кибергруппой, взаимодействовал с компьютерными сетями организации как минимум в период с июля по август. Взломанное устройство, вероятно, принадлежало малому бизнесу или домашнему пользователю.
(За исключением заголовка, эта история не редактировалась сотрудниками NDTV и опубликована на синдицированном канале.)