Вирус применил разведцентр Агентства национальной безопасности США.

Как сообщает издание Global Times, китайские эксперты по кибербезопасности обнаружили "скрытую и адаптируемую" шпионскую программу, которая использовалась разведывательным центром Агентства национальной безопасности США (АНБ) для кибератаки на систему электронной почты Северо-западного политехнического университета Китая.

По словам специалистов, с помощью кибератаки США пыталась похитить информацию из университета, известного своими передовыми исследованиями и разработками в области авиации, аэрокосмической промышленности и навигации.

На прошлой неделе китайская техническая группа, стоящая за данным открытием, объявила, что, извлекая множество образцов троянов из интернет-терминалов университета, ей удалось установить, что атака на университет была проведена группой Tailored Access Operations (TAO) при Бюро разведки данных Информационного департамента АНБ США.

Техническая группа обнаружила 41 тип шпионских программ для кражи основных технологических данных, включая конфигурацию ключевого сетевого оборудования, данные управления сетью и основные оперативные данные. Кроме того, эксперты выявили более 1100 атакующих ссылках, проникших в университетскую систему, и более 90 операционных инструкций, которые похитили множество файлов конфигурации сетевых устройств, а также другие типы журналов и ключевых файлов.

Китайский национальный центр реагирования на компьютерные вирусы и базирующаяся в Пекине лаборатория Qi An Pangu провели более глубокий системный анализ и обнаружили еще одну шпионскую программу под названием «Drinking tea», стоящую за кражей больших объемов конфиденциальных данных.

TAO внедрил Drinking tea во внутренний сетевой сервер университета и украл пароль входа в систему удаленного управления и удаленной передачи файлов, таких как SSH, чтобы получить доступ к серверам в Интранете и другим высокоценным серверам, что привело к краже конфиденциальных данных.

Как пишет издание, Drinking tea – крайне опасный вирус, который способен не только воровать учетные записи и пароли для удаленной передачи файлов, но и скрываться, а также адаптироваться к новым условиям. После попадания в необходимый сервер Drinking tea маскируется под обычный фоновый процесс, что сильно затрудняет его обнаружение.

Кроме того, в феврале специалисты лаборатории Qi An Pangu в Пекине обнаружили хакерскую группу, использующую более 10 лет другой вид кибероружия – Telescreen, который был применен для атак в 45 странах и регионах, включая Китай, Россию, Японию, Германию, Испанию и Италию. Известно, что Telescreen был использован вместе с Drinking tea для запуска атаки на систему электронной почты университета.

Источник: securitylab