Как украсть секреты парламента через GitHub. Краткое пособие по мировому шпионажу от азиатских хакеров
NewsMakerНовая группировка шпионила за 155 странами сразу и, кажется, теперь она знает о мировой экономике больше, чем сами министры
Специалисты Palo Alto Unit 42 раскрыли масштабную шпионскую операцию, которая в течение как минимум двух лет незаметно проникала в государственные сети по всему миру. За атаками стоит новая группировка, получившая обозначение TGR-STA-1030. По оценке исследователей, она действует при поддержке государства в Азии и уже успела взломать ведомства и объекты критической инфраструктуры в десятках стран.
Специалисты заявляют, что только за последний год злоумышленники скомпрометировали не менее 70 организаций в 37 странах. Речь идёт о министерствах, правоохранительных структурах, пограничных службах, финансовых ведомствах, а также учреждениях, связанных с энергетикой, добычей ресурсов, торговлей и дипломатией. Осенью и в начале зимы 2025 года атакующие вели разведку правительственной сетевой инфраструктуры сразу в 155 странах.
Атаки начинались с хорошо подготовленных фишинговых писем . Чиновникам рассылали сообщения о якобы грядущих организационных изменениях в министерствах и ведомствах. В письмах были ссылки на архивы с вредоносными файлами. Названия документов подбирались под конкретную страну и структуру, чтобы не вызывать подозрений. В одном из случаев использовалось имя файла на эстонском языке, связанное с департаментом полиции и погранохраны.
Внутри архивов находился загрузчик вредоносной программы с говорящим названием DiaoYu, что переводится как «рыбалка» и используется как намёк на фишинг. Программа проверяла параметры компьютера и наличие специального файла рядом с собой. Если условия не выполнялись, вредоносный код не запускался. Так злоумышленники обходили автоматические системы анализа. После запуска загрузчик скачивал дополнительные компоненты с площадки GitHub и устанавливал инструмент удалённого управления, широко применяемый в целевых атаках.
Специалисты Palo Alto Unit 42 раскрыли масштабную шпионскую операцию, которая в течение как минимум двух лет незаметно проникала в государственные сети по всему миру. За атаками стоит новая группировка, получившая обозначение TGR-STA-1030. По оценке исследователей, она действует при поддержке государства в Азии и уже успела взломать ведомства и объекты критической инфраструктуры в десятках стран.
Специалисты заявляют, что только за последний год злоумышленники скомпрометировали не менее 70 организаций в 37 странах. Речь идёт о министерствах, правоохранительных структурах, пограничных службах, финансовых ведомствах, а также учреждениях, связанных с энергетикой, добычей ресурсов, торговлей и дипломатией. Осенью и в начале зимы 2025 года атакующие вели разведку правительственной сетевой инфраструктуры сразу в 155 странах.
Атаки начинались с хорошо подготовленных фишинговых писем . Чиновникам рассылали сообщения о якобы грядущих организационных изменениях в министерствах и ведомствах. В письмах были ссылки на архивы с вредоносными файлами. Названия документов подбирались под конкретную страну и структуру, чтобы не вызывать подозрений. В одном из случаев использовалось имя файла на эстонском языке, связанное с департаментом полиции и погранохраны.
Внутри архивов находился загрузчик вредоносной программы с говорящим названием DiaoYu, что переводится как «рыбалка» и используется как намёк на фишинг. Программа проверяла параметры компьютера и наличие специального файла рядом с собой. Если условия не выполнялись, вредоносный код не запускался. Так злоумышленники обходили автоматические системы анализа. После запуска загрузчик скачивал дополнительные компоненты с площадки GitHub и устанавливал инструмент удалённого управления, широко применяемый в целевых атаках.