Изглежда, че “вечната дружба” между Русия и Китай има доста интересни измерения, особено в дигиталното пространство. Докато Путин и Си Дзинпин се прегръщат пред камерите и обещават “безгранично партньорство”, китайската хакерска група IronHusky е насочила вниманието си към руски правителствени организации, използвайки подобрена версия на зловредния софтуер MysterySnail RAT (Remote Access Trojan). Специалистите от Kaspersky’s Global Research and Analysis Team (GReAT) попаднаха на следите на тази обновена вредителска програма, докато разследваха скорошни атаки.
Хакерите от IronHusky разпространяват своя троянец чрез доста хитър метод – зловреден MMC скрипт, маскиран като Word документ. След като жертвата отвори този “документ”, той изтегля допълнителни зловредни програми и се настанява трайно в компрометираната система.
“Действията на тези файлове оставят следи от зловредния софтуер MysterySnail RAT, имплант, който описахме още през 2021 г. В наблюдаваните случаи на заразяване, MysterySnail RAT е конфигуриран да остава в компрометираните машини като услуга,” обясняват от Kaspersky.
Интересното е, че скоро след като Kaspersky блокира първоначалните пробиви, хакерите не се отказали, а просто преминали към по-лека версия на същия софтуер, която експертите нарекли MysteryMonoSnail.
Интересното е, че това не е първият път, когато IronHusky проявява интерес към руските правителствени системи. Касперски първоначално засече групата още през 2017 г., докато разследваха кампания, насочена към руски и монголски правителствени организации. Целта тогава? Събиране на разузнавателна информация за руско-монголските военни преговори.
През 2021 г. същата група беше забелязана да използва уязвимост нулев ден в Windows Win32k kernel драйвер (CVE-2021-40449), за да разпространява MysterySnail RAT в мащабни шпионски атаки срещу IT компании, военни/отбранителни изпълнители и дипломатически структури в Русия и Монголия.
А една година по-рано, през 2018 г., те експлоатираха уязвимост в Microsoft Office (CVE-2017-11882), за да разпространяват други RAT програми, типично използвани от китайски хакерски групи, включително PoisonIvy и PlugX.
Какво означава това за “вечната дружба”?Руско-китайското “братство” изглежда функционира по същия принцип като всички други международни отношения – всеки гледа собствения си интерес. Просто китайските хакери са решили, че информацията от руските правителствени системи е достатъчно ценна, за да рискуват малко дипломатическо напрежение.
Докладът на Kaspersky, публикуван миналия четвъртък, включва пълни технически подробности за последните атаки на IronHusky с използване на MysterySnail RAT. Няма никакво съмнение, че китайците са шпионирали руснаците.
Въпреки това, руските и китайските лидери вероятно ще продължат да се прегръщат пред камерите, докато техните кибер войски водят битка зад кулисите. В края на краищата, какво е малко шпионаж между “приятели”, нали?
