ФБР отразило масштабную атаку китайских хакеров

20.09.2024 16:26

Группа китайских хакеров, работающих на Integrity Technology Group, компанию, базирующуюся в Пекине и известную в частном секторе как Flax Typhoon, использовала заражённые устройства для формирования ботнета для запуска дополнительных атак, сообщило Министерство юстиции 18 сентября.

Ботнет — это компьютерная сеть, состоящая из некоторого количества устройств с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.

Вредоносное ПО было установлено китайской организацией примерно на 200 тыс. потребительских устройств в Соединённых Штатах и других странах. Заражённые утилиты включали камеры, видеомагнитофоны, а также домашние и офисные маршрутизаторы.

«Вредоносное ПО подключило эти тысячи заражённых устройств к ботнету, контролируемому Integrity Technology Group, который использовался для проведения вредоносной киберактивности, замаскированной под обычный интернет-трафик с заражённых потребительских устройств», — говорится в заявлении, опубликованном Министерством юстиции США.

Затем ФБР провело санкционированную судом операцию по захвату контроля над скомпрометированными устройствами и удалённому отключению вредоносного ПО, чтобы предотвратить дальнейший шпионаж хакеров и кражу данных из университетов и правительственных учреждений.

Выступая на Киберсаммите в Аспене 18 сентября, директор ФБР Кристофер Рэй сказал, что правительственные команды по отключению вредоносного ПО были «тщательно протестированы перед операцией».

«Это было ещё одно успешное вмешательство, но не заблуждайтесь — это всего лишь один раунд в гораздо более длительной борьбе», — сказал Рэй.

«Правительство Китая собирается продолжать атаковать ваши организации и нашу критически важную инфраструктуру… и мы продолжим работать с нашими партнёрами, чтобы выявлять их вредоносную активность, пресекать их хакерские кампании и выявлять их».

Эксклюзив

Три слова под жёсткой цензурой, из-за которых Вас могут арестовать в коммунистическом Китае — и вот почему

Тем не менее, хакеры предприняли контратаку на устройства ФБР, развернув распределённую кампанию отказа в обслуживании (DDoS), которая была нацелена на инфраструктуру, использовавшуюся ФБР для получения контроля над устройствами.

«Эта атака в конечном счёте не увенчалась успехом в предотвращении нарушения работы ботнета ФБР», — заявило Министерство юстиции.

Подтверждение операции поступило через девять месяцев после того, как Рэй раскрыл, что другая кампания нарушила работу китайского ботнета, нацеленного на критически важную инфраструктуру в Соединённых Штатах.

В то время Рэй свидетельствовал, что вторжение Китая в системы США было уникальным по степени, в которой оно намеренно нацеливалось на гражданские системы, которые могли нанести прямой физический вред американцам.

Он сказал, что вредоносное ПО, удалённое в ходе этой операции, было разработано для нарушения работы инфраструктуры США, её деградации и уничтожения, вероятно, в координации с прямыми военными действиями в случае конфликта между Соединёнными Штатами и Китаем.

Неясно, служила ли вредоносная программа Flax Typhoon аналогичной цели.

Согласно судебным документам, базирующаяся в Пекине Integrity Technology Group создала онлайн-приложение, позволяющее своим клиентам входить в систему и управлять заражёнными устройствами жертв с помощью меню киберкоманд с использованием инструмента под названием «арсенал уязвимостей».

Онлайн-приложение было помечено как KRLab, один из основных публичных брендов, используемых Integrity Technology Group.

Генеральный прокурор Меррик Гарланд заявил, что кибератака была лишь частью решительных усилий Китая по подрыву национальной безопасности США.

«Министерство юстиции нацелено на поддерживаемые китайским правительством хакерские группы, которые нацелены на устройства невинных американцев и представляют серьёзную угрозу нашей национальной безопасности», — сказал Гарланд.

«Мы продолжим агрессивно противодействовать угрозе, которую китайские хакерские группы, спонсируемые государством, представляют для американского народа».

ФБР уведомит американских владельцев устройств, затронутых операцией, через их интернет-провайдеров.