UAT-5918: Китай создает скрытую сеть контроля на Тайване

Специалисты Cisco Talos зафиксировали масштабную кампанию по кибершпионажу, направленную на стратегически важные отрасли Тайваня. Атаки начались не позднее 2023 года и продолжаются по сей день, а организаторы стремятся к долговременному скрытому доступу в системы и к краже конфиденциальных данных. Группировка получила обозначение UAT-5918.

Согласно отчету, основной целью UAT-5918 являются телекоммуникационные, медицинские, IT-компании, а также другие объекты инфраструктуры на территории Тайваня. UAT-5918 демонстрирует явные пересечения в тактике, инструментах и целях с известными кибершпионскими группами Volt Typhoon, Flax Typhoon, Famous Sparrow и Earth Estries, связанными с китайским правительством. Это указывает на тесные связи между участниками кампании и возможное централизованное управление.

Для проникновения злоумышленники эксплуатируют уже известные уязвимости на серверах, подключённых к интернету. После получения доступа хакеры вручную проводят разведку, используя открытую утилиту cmdkey, определяют доступные пользователи и домены, выгружают системную информацию, отключают защитные механизмы и разворачивают инструменты для дальнейшего перемещения по сети. В числе используемого ПО — Mimikatz, Impacket, Earthworm, Neo-reGeorg, LaZagne и другие. Киберпреступники стремятся оставить как можно больше точек входа — от веб-шеллов до новых аккаунтов администраторов.

Отличительная черта UAT-5918 — использование открытых и плохо замаскированных инструментов, что позволяет оставаться в тени на фоне системного шума. Среди применяемых техник — обратные прокси-соединения через FRP и Neo-reGeorg, сканирование портов с помощью FScan и In-Swor, извлечение паролей из реестра и браузеров, создание новых пользователей в домене и внедрение Meterpreter-оболочек для устойчивого доступа.

Создание скрытых учётных записей с правами администратора фиксировалось почти во всех эпизодах. Это позволило злоумышленникам закрепиться в инфраструктуре и обойти дополнительные уровни защиты, включая двухфакторную аутентификацию и сетевые политики доступа.

Напомним, что недавно Китай разоблачил хакеров «тайваньской независимости», которые были организаторами и исполнителями кибератак на материковый Китай.

Volt Typhoon действует на протяжении последних пяти лет, проникая в объекты критической инфраструктуры США — от портов до энергетических сетей. Хакеры внедряли вредоносное ПО, которое может быть активировано в будущем для дестабилизации общества, особенно в случае потенциального конфликта вокруг Тайваня. Salt Typhoon, выявленная летом 2024 года, за 2 года атаковала 9 американских телекоммуникационных компаний и десятки аналогичных организаций по всему миру.

Федеральная комиссия по связи США (FCC) решила усилить защиту страны от кибератак и создать специальный Совет национальной безопасности. Новый орган займётся борьбой с угрозами со стороны Китая и поможет США сохранять позиции в сфере искусственного интеллекта и 5G-технологий.

Кроме того, группа республиканцев в Сенате США призвала администрацию Дональда Трампа начать наступательные кибероперации против Китая. Причиной для такого шага стали недавние хакерские атаки, связанные с китайскими спецслужбами, которые затронули важные американские сети.