Согласно новому исследованию Palo Alto Networks, некие госхакеры, связанные с одним из азиатских государств, за последний год скомпрометировали как минимум 70 организаций в 37 странах.
Исследователи считают, что по своему размаху эта кампания кибершпионажа стоит в одном ряду с событиями вокруг SolarWinds в 2020 году. Новая группировка успешно взломала пять национальных правоохранительных и пограничных органов, три министерства финансов и несколько других правительственных учреждений, занимающихся дипломатией, торговлей и природными ресурсами.
Среди атакованных организаций авторы отчёта называют министерство горнодобывающей промышленности и энергетики Бразилии, парламент и армию Чехии, одного индонезийского чиновника и тайваньского поставщика энергетического оборудования. Пострадали многие страны: Боливия, Бразилия, Мексика, Панама, Венесуэла, Кипр, Греция, Индонезия, Малайзия, Монголия, Тайвань, Таиланд, Демократическая Республика Конго, Джибути и Замбия.
Хакерская группа, которую Palo Alto Networks обозначила как TGR-STA-1030, использовала как традиционные фишинговые электронные письма, так и известные уязвимости для взлома организаций. «Они целенаправленно собирают информацию и занимаются шпионажем, оставаясь при этом в рамках допустимого уровня, не привлекая к себе слишком много внимания», — пояснил ведущий исследователь безопасности в группе анализа угроз Unit 42 компании Питер Реналс.
По данным экспертов, злоумышленники проводили сканирование на наличие уязвимостей в инфраструктуре 155 стран в период с ноября по декабрь, что указывает на заинтересованность в будущих атаках. Проникнув в корпоративные системы, они использовали свой доступ для горизонтального перемещения и создания способов повторного возвращения в скомпрометированную сеть с течением времени.
Аналитики Unit 42 предполагают, что кампания была сосредоточена на экономической разведке — в частности, на добыче полезных ископаемых, редкоземельных элементах, торговой политике и дипломатии. Об этом свидетельствует выбор момента для вторжений. Спустя несколько дней после операции США по захвату венесуэльского лидера Николаса Мадуро хакеры были замечены в проведении «масштабной разведывательной деятельности, направленной как минимум на 140 принадлежащих правительству IP-адресов».
Вскоре после того, как Mexico News Daily сообщила о начале торгового расследования Китаем планов Мексики по повышению тарифов, исследователи обнаружили вредоносный трафик, нацеленный на два мексиканских министерства. За месяц до национальных выборов в Гондурасе 2025 года эксперты наблюдали, как TGR-STA-1030 атаковала правительственную инфраструктуру. Примечательно, что оба кандидата в президенты выразили заинтересованность в восстановлении дипломатических отношений с Тайванем.
Через несколько недель после встречи президента Чехии Петра Павла с Далай-ламой хакеры также проникли в чешскую правительственную инфраструктуру, связанную с армией, полицией, парламентом, а также министерствами внутренних дел, финансов и иностранных дел.
Со слов представителей Palo Alto Networks, они поддерживают связь с 37 пострадавшими странами и отраслевыми партнёрами. В компании предупредили, что угроза не миновала: «Методы, цели и масштабы операций группы вызывают тревогу и могут иметь долгосрочные последствия для национальной безопасности и ключевых служб».
Усам Оздемиров
.png)