Киберпионаж или финансовый интерес? Компания SentinelOne делает свои ставки.

Согласно последнему отчету кибербезопасной компании SentinelOne , игорный сектор Юго-Восточной Азии стал объектом масштабных кибератак. Подозревают китайских хакеров Bronze Starlight. Исследователи отмечают, что инструменты, которые используют злоумышленники, применялись в предыдущих операциях именно этой группировки. Возможно, что речь идет о кибершпионаже – взломщики следят за внутренними процессами в компаниях и незаметно собирают информацию.

После введения жестких ограничений для казино и прочих заведений в провинции Макао, многие компании и игроки стали искать альтернативные площадки в Юго-Восточной Азии. Рост их активности мог привлечь к себе внимание хакеров. Увеличившееся количество онлайн-транзакций и потоков обмена данными становится потенциальной мишенью для киберпреступников и шпионов. К тому же переход бизнеса в новые регионы не сопровождается соответствующим уровнем безопасности.

В процессе анализа выяснилось, что преступники использовали продукты организации Ivacy, которая специализируется на VPN-услугах. Они также добрались до ключей цифровой подписи PMG PTE LTD, партнера Ivacy VPN. Как только угроза была выявлена, соответствующий сертификат немедленно отозвали.

Легитимные сервисы вроде Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan служили троянами для внедрения вредоносного ПО, которое работало лишь как средство отвлечения. Интересно, что программа прекращала работать, если запускалась на устройствах из ряда стран, включая США, Россию и Европу.

Дополнительным индикатором активности хакеров стало использование HUI Loader — инструмента, ранее замеченного в операциях именно китайских группировок, например, APT10. Эта группа была раскрыта в 2018 году. Она базируется в Тяньцзине, Китай, и предположительно сотрудничает с Тяньцзинским бюро государственной безопасности.

При этом HUI Loader использовали и другие группы: LockFile, AtomSilo, NightSky, LockBit 2.0 и Pandora.

Специалисты призывают к повышенной бдительности, учитывая, что злоумышленники постоянно совершенствуют свои изощренные методы и находят новые лазейки. Уже известно, что группировка умеет хорошо маскировать свою деятельность, затрудняя идентификацию источника атак.

Источник: securitylab