Операция «Цветение Лотоса»
bakotech
  
Новости
Операция «Цветение Лотоса»
23 июн 2015

В текущем месяце исследовательская команда Palo Alto Networks ‒ Unit42 идентифицировала кампанию длительного кибершпионажа, которая велась с 2012 г. и была нацелена на правительственные и военные организации в Юго-Восточной Азии. Группа злоумышленников, которую исследователи назвали Цветение Лотоса (Lotus Blossom), вероятнее всего спонсировалась другими государствами.

Хорошо организованная атака

На протяжении своей аналитической работы, команда Unit42 отметила то, что группа Цветение Лотоса разворачивала сложные инструменты для ведения атаки, демонстрировала обширные ресурсы и настойчивость, охватывающую несколько лет. Это говорит о том, что проведенный командой злоумышленников кибершпионаж был организован другими государствами. Кроме того, учитывая правительственный и военный характер целей, а также данные разведки, которые могли быть украдены – можно сделать определенные выводы о «корнях» ранее проведенных атак на государства Юго-Восточной Азии.

Unit42 привязал к группе Цветение Лотоса более 50-ти отдельных атак, проведенных через Гонконг, Тайвань, Вьетнам, Филиппины, Индонезию. Их объединили следующие характеристики:

  • правительственный и военный характеры целей;
  • распространение фишинга на начальном этапе атаки (прорыва периметра);
  • использование трояна Элиз (Elise) для захвата конечных точек в сети организации;
  • использование файла-приманки в ходе доставки трояна в систему (пользователи открывали его, не подозревая, что это вредоносный файл-контейнер).

В Unit42 уверены в том, что группа злоумышленников Цветение Лотоса специально написала вредоносный код трояна Элиз для проведения своих атак и изменяла его конфигурацию трижды (об этом говорят данные, выявленные в ходе анализа более 50-ти примеров вредоносных файлов). Это достаточно сложный инструмент, который имеет возможность уклонятся от детектирования у виртуальной среде, соединяется с центром управления для получения дополнительных инструкций и передачи украденных данных.

Спонсируемые государствами атаки

Операция «Цветение Лотоса» является ярким примером того, как хорошо обеспеченный ресурсами противник может разворачивать сложные атаки в течение длительного периода времени, который может растянуться на годы, если это нужно для достижения целей. Целенаправленные атаки и спонсоры уровня государств применимы не только к Юго-Восточной Азии, поэтому организации по всему миру должны быть осведомлены о потенциальном воздействии хорошо подготовленного противника на их сеть. 

Обмен Данными об угрозах – наилучшее предотвращение атак

Palo Alto Networks считает, что лучший способ предотвращения подобных инцидентов в будущем – обмен исследовательскими данными об угрозах, поскольку в этом случае все больше и больше информации будет анализироваться и использоваться. А после того, как тактика, методы и процедуры злоумышленников станут известными, они будут вынуждены повторно тратить свои ресурсы на изменение инструментов ведения атаки. За счет повышения стоимости для нападавших, мы можем потенциально заставить их искать более доступную жертву в другом месте или же сделать проведение атаки слишком дорогим процессом, который не стоит тех данных, что можно заполучить.

Unit42 обнаружил атаку, используя сервис Palo Alto Networks AutoFocus™. Этот инструментарий позволяет аналитикам быстро находить взаимосвязи между проанализированными вредоносными образцами в песочнице WildFire.

Пользователи Palo Alto Networks защищены от вредоносного программного обеспечения, которое использовалось группой злоумышленников Цветение Лотоса, через сервисы WildFire и Threat Prevention (сигнатура IPS 14358).

К списку новостей      >