Cobalt Strike в руках Пекина: тибетские сайты стали целью китайских хакеров

Группа хакеров, предположительно связанная с правительством Китая, осуществила кибератаку на тибетские медиаресурсы и образовательные учреждения. По данным исследователей из Recorded Future's Insikt Group, хакерская группа, получившая условное название TAG-112, взломала сайты цифрового новостного издания Tibet Post и Тантрического университета Гьюдмед в конце мая 2023 года. На момент публикации отчета сайты все еще находились под контролем хакеров.

Специалисты обнаружили несколько сходств между деятельностью TAG-112 и другой китайской хакерской группировкой Evasive Panda, которую эксперты характеризуют как высококвалифицированную и агрессивную. Обе группы проявляют интерес к тибетскому сообществу, причем ранее Evasive Panda уже взламывала Tibet Post. В обоих случаях злоумышленники модифицировали взломанные сайты таким образом, чтобы побудить посетителей загрузить вредоносный файл под видом «сертификата безопасности».

Несмотря на схожие методы работы, аналитики Insikt Group считают TAG-112 отдельной хакерской группой. В отличие от Evasive Panda, TAG-112 демонстрирует менее сложные технические навыки и не использует кастомное вредоносное ПО. Вместо специально разработанного программного обеспечения группа применяет Cobalt Strike — легитимный инструмент кибербезопасности, предназначенный для моделирования кибератак специалистами. Полезная нагрузка Cobalt Strike Beacon широко используется хакерами для проведения реальных атак.

По мнению исследователей, TAG-112 может быть подгруппой Evasive Panda, работающей над аналогичными задачами по сбору разведданных. Взломанные сайты были созданы на базе системы управления контентом Joomla. При отсутствии своевременного обновления и поддержки такие сайты становятся легкой мишенью для киберпреступников. Предположительно, группа использовала уязвимости в веб-ресурсах для загрузки вредоносного кода.

Тибетское сообщество в изгнании, как и другие этнические меньшинства в Китае, давно находится под прицелом различных китайских групп кибершпионажа. Пекин рассматривает подобные группы как подрывные или сепаратистские элементы, бросающие вызов Коммунистической партии Китая.

Эксперты прогнозируют, что TAG-112 и Evasive Panda продолжат атаки на организации, связанные с этническими, религиозными и правозащитными вопросами, которые работают в Китае или имеют отношение к стране. Ранее в марте 2023 года была зафиксирована кампания кибершпионажа, связанная с Evasive Panda, в ходе которой тибетцам предлагалось загрузить программное обеспечение для перевода, содержащее вредоносный код. Атака затронула тибетцев, проживающих в Индии, Тайване, Гонконге, Австралии и США.