Старое шпионское ПО китайских военных замечено в атаках на США, Канаду и Южную Корею
Операция Oceansalt включала пять волн кибератак, адаптированных под конкретную цель.
Специалисты компании McAfee раскрыли подробности новой кампании по кибершпионажу, направленной на организации в США, Канаде и Южной Корее. В операции применялось вредоносное ПО, основанное на исходном коде импланта в последний раз замеченного в 2010 году в атаках группировки APT1 (также известна как Comment Crew), предположительно связанной с китайской армией. В период с 2006 по 2010 годы в рамках операции Operation Seasalt группа осуществила кибератаки на более чем 141 американское предприятие. Хотя исследователи не смогли идентифицировать организаторов новой кампании, она получила название Operation Oceansalt из-за сходства с Operation Seasalt. Как полагают эксперты, злоумышленники не смогли бы разработать новую вредоносную программу без непосредственного доступа к исходному коду импланта Comment Crew, однако на данный момент нет свидетельств, что данный код когда-либо находился в открытом доступе или продавался в интернете.
Операция Oceansalt включала пять волн кибератак, адаптированных под конкретную цель. В рамках первой, второй и третьей волны киберпреступники в целях кибершпионажа распространяли фишинговые письма, содержащие документы Microsoft Word и Excel на корейском языке, служащих в качестве загрузчиков ряда троянов, в том числе Trojan.Ecltys, Backdoor.Barkiofork и Trojan.Downbot. Судя по содержанию документов, злоумышленников интересовали финансовые организации и компании в сфере сельского хозяйства. Последние две волны атак были направлены на небольшое количество объектов в США и Канаде.
Несмотря на сходство двух кампаний, исследователи не связали новую операцию с Comment Crew, поскольку не обнаружили других свидетельств возобновления деятельности группировки. Вполне возможно, Comment Crew поделилась исходным кодом импланта, либо Oceansalt удалось каким-либо образом получить код от бывшего участника Comment Crew или вся операция Oceansalt является всего лишь обманным маневром, чтобы подставить Китай.
«Эти атаки могут быть предвестником более масштабной кампании, которая может стать разрушительной, учитывая уровень контроля злоумышленников над инфицированными системами. Воздействие данной операции может быть огромным: Oceansalt предоставляет атакующим полный контроль над любой скомпрометированной системой и сетью, к которой она подключена. Банковские сети станут наиболее выгодными целями», — заключили аналитики McAfee.