Китайские хакеры взломали механизм обновления приложения чата, используемого сотнями правительственных учреждений Монголии.
Спонсируемая государством китайская хакерская группа, также известная как APT, подозревается в взломе монгольской компании-разработчика программного обеспечения и взломе приложения чата, используемого сотнями правительственных агентств Монголии.
Согласно отчету, опубликованному словацкой охранной фирмой ESET, атака предположительно произошла ранее этого года, в июне, -передает zdnet.com.
Хакеры атаковали приложение под названием Able Desktop, разработанное местной компанией Able Software. Согласно веб-сайту компании, приложение представляет собой надстройку, которая предоставляет возможности мгновенного обмена сообщениями для основного продукта компании — платформы управления человеческими ресурсами (HRM).
Able Software утверждает, что ее платформа используется более чем 430 правительственными учреждениями Монголии, в том числе Канцелярией президента, Министерством юстиции, Министерством здравоохранения, различными местными правоохранительными органами и многими местными органами власти.
ESET заявляет, что из-за его широкого использования среди государственных служащих, приложение было в центре нескольких усилий по распространению вредоносных программ как минимум с 2018 года.
Первоначальные атаки были связаны с добавлением вредоносного ПО в приложение чата Able Desktop и распространением троянской версии установщика приложения по электронной почте в надежде заставить сотрудников заразить самих себя.
В число полезных нагрузок этих атак входили бэкдор HyperBro и троян удаленного доступа PlugX.
Но хотя эти атаки были успешными, ESET сообщает, что все изменилось в июне 2020 года, когда злоумышленники, похоже, нашли путь внутрь серверной части Able и скомпрометировали систему, которая доставляет обновления программного обеспечения для всех программных приложений Able.
Исследователи ESET утверждают, что злоумышленники использовали эту систему как минимум дважды, чтобы доставить зараженное вредоносным ПО приложение чата Able Desktop через официальный механизм обновления. Для этих атак злоумышленники снова использовали бэкдор HyperBro, но они изменились с PlugX на Tmanager в качестве компонента удаленного доступа.
Помимо отчета ESET, компания Avast, занимающаяся кибербезопасностью, также опубликовала собственный отчет об этих атаках, который также связывает злоумышленников с Китаем и квалифицирует атаки как кибершпионаж.
Подробнее: centralasia.media/news:1667599?f=cp
