Операция TIDRONE: хакеры берут под контроль глобальные поставки беспилотников

Неизвестная кибергруппировка, которая, вероятно, имеет связи с китаеязычными хакерскими объединениями, в 2024 году начала активно атаковать тайваньских производителей дронов. По данным компании Trend Micro, угроза отслеживается под именем TIDRONE, а её основная цель — промышленный шпионаж, направленный на цепочки поставок военной техники.

Точный способ проникновения в системы компаний пока не установлен, однако исследователи выявили использование вредоносных программ CXCLNT и CLNTEND. Обе распространяются через инструменты для удалённого управления рабочими столами, такие, как UltraVNC, и прочие.

Общим признаком среди всех жертв стало наличие одного и того же программного обеспечения для управления ресурсами предприятия (ERP), что наводит на мысль о возможной атаке на цепочку поставок.

Кибератаки в рамках операции TIDRONE обычно происходят в три этапа, направленных на:

1. повышение привилегий через обход контроля учётных записей (UAC);
2. получение данных учётных записей;
3. отключение антивирусов на заражённых устройствах.

Запуск вредоносных программ осуществляется через подгрузку вредоносной DLL-библиотеки с помощью приложения Microsoft Word, что даёт злоумышленникам доступ к конфиденциальной информации.

CXCLNT способен загружать и скачивать файлы, стирать следы своей деятельности, собирать информацию о системе и запускать последующие этапы атаки. В свою очередь, CLNTEND, впервые обнаруженный в апреле 2024 года, обладает более широкими возможностями и поддерживает несколько сетевых протоколов, включая TCP, HTTP, HTTPS и SMB.

Исследователи Пьер Ли и Вики Су из Trend Micro отмечают, что совпадение времени компиляции файлов и время активности кибергруппы с предыдущими случаями шпионажа подтверждает её связь с определёнными китаеязычными хакерскими группировками.

Этот инцидент подчёркивает уязвимость цепочек поставок, особенно в секторах, связанных с военной техникой.