Китайских хакеров обвинили в краже интеллектуальной собственности Тайваня

Китайская группа хакеров похитила интеллектуальную собственность ряда тайваньских компаний, занимающихся микроэлектроникой, заявил представитель исследовательской компании в области безопасности CyCraft 9 августа на конференции по кибербезопасности Black Hat, сообщает американский информационно-аналитическое издание об информационных технологиях Ars Technica.

Согласно данным тайваньской компании CyCraft, спонсируемая китайским государством группа хакеров провела масштабную операцию по хищению данных не менее семи организаций полупроводниковой отрасли Тайваня.

Операция представляла собой серию вторжений в сети компаний на протяжении двух лет. Исследователи назвали ее в честь одноименного вредоносного кода «Skeleton Key» (универсальный ключ, метод используется хакерскими инструментами Dumpert и Mimikatz), позволяющего проходить аутентификацию от имени любого пользователя в сетях с Active Directory (AD).

«Skeleton Key» использует уязвимость контроллера домена AD, настроенного на однофакторную аутентификацию. Уязвимость позволяет пройти аутентификацию от имени любого пользователя с любым паролем. То есть проверка пароля не производится.

Новые данные, обнаруженные исследователями, указывают на деятельность известной хакерской группы Winnti (также известной, как Barium или Axiom). В CyCraft не собщили названия пострадавших компаний, однако несколько из них работают в промышленном парке Синьчжу.

Хакеры использовали защищенное VPN-соединение к сетям компаний за счет уязвимости VPN-сервера, либо кражи учетных данных у удаленных пользователей. Затем включали программное обеспечение (ПО) Cobalt Strike для маскировки внедрения вредоносного кода в виде файла, одноименного файлу обновления браузера Google Chrome. А также эксплуатировали уязвимость AD.

Координация деятельности велась с виртуальных серверов в облачных сервисах Google и Microsoft, что затруднило выявление аномальных сеансов связи.