Китайские хакеры крадут вьетнамские данные

Полковник Тран Ван Хоа, заместитель директора Департамента по предупреждению высокотехнологичных преступлений (Министерство общественной безопасности), только что стал объектом преднамеренного нападенияхакерКитай.

Такую информацию озвучил сам полковник Тран Ван Хоа на конференции по информационной безопасности Security World 2013, которая прошла вчера (26 марта) в Ханое.

Источник атаки на электронную почту руководителя Департамента по борьбе с высокотехнологичной преступностью был идентифицирован как исходящий из Китая. Источник: полковник Тран Ван Хоа.

Расшифруйте странное электронное письмо

В частности, 5 марта г-н Хоа получил электронное письмо на имя «Доктора Тран Ван Хоа, C15, BCA» с адреса, принадлежащего должностному лицу Министерства науки и технологий. Письмо содержало подпись с полной информацией, номер мобильного телефона отправителя и прикреплённый документ под названием «Резюме с запросом на подтверждение LLKH-CN.doc».

Заметив подозрительность этого письма, полковник Хоа связался с отправителем и выяснил, что пароль к письму был украден давным-давно, и владелец потерял к нему доступ. Отправитель письма также не был знаком с полковником Хоа.

В результате профессиональных мер специализированное агентство установило, что данное электронное письмо было загружено на сервер Yahoo с компьютера, подключенного к сети с IP-адресом 118.145.2.250 в Пекине (Китай), через интернет-провайдера Beijing Hua Si Wei Tai Ke Technology Co.Limited.

Расшифровав прикреплённый текстовый файл, полиция обнаружила, что это бэкдор-вирус, который отправлял запросы на сервер ctymailinh.vicp.cc с IP-адресом 182.242.233.53 (в Куньмине, провинция Юньнань, Китай, через провайдера Chinanet Yunnan Province Network) и загружал программное обеспечение с этого сервера. Если вирус не будет обнаружен и заблокирован, он начнёт процесс незаметной кражи данных без ведома жертвы.

Метод распространения вируса на компьютер жертвы, используемый хакерами, очень изощрён и тщательно замаскирован, чтобы заманить жертву в ловушку. После успешной установки «бэкдора» вирус не уничтожает компьютер пользователя, а лишь остаётся на нём, отправляя данные по заранее определённым адресам, сообщил полковник Хоа.

Субъектами являются люди, занимающие руководящие должности.

По словам полковника Хоа, аналогичный инцидент с целью нападения на лиц, занимающих должности в государственных органах, с целью кражи данных из всей системы был также выявлен Управлением полиции по борьбе с высокотехнологичными преступлениями.

Разница в этом случае заключается в том, что после того, как получатель обманным путем «установит» вирус по электронной почте, вирус продолжит установку четырех шпионских программ с различными функциями, включая кейлоггер (запись клавиатурных операций жертвы), собирающий информацию и отправляющий ееwww.expressvn.orgЗарегистрировано в Китае. Вторая программа-шпион будет собирать информацию и отправлять её обратно.www.fushing.org, зарегистрированный на Тайване иwww.dinhk.netЗарегистрирован в Китае. Третий вирус будет заниматься кражей паролей электронной почты, сохранённых на диске C.

Вирус в конечном итоге соберет данные и отправит их ХОСТУ.www.zdungk.comиwww.phung123.comОба адреса зарегистрированы в Китае на имя одного человека, Ян Фэй, с адресом электронной почты[email protected], с адресами в Пекине. По данным властей, именно с этих адресов регулярно отправлялись электронные письма с целью кражи информации у многих чиновников и руководителей вьетнамских государственных органов.

Полковник Хоа также сообщил, что полицейское управление обнаружило множество важных и конфиденциальных данных министерств, ведомств и ведомств Вьетнама, которые были публично опубликованы в интернете известной хакерской группой Anonymous. Стоит отметить, что эти данные не были использованы Anonymous во Вьетнаме, а были похищены группой с сервера, расположенного в Пекине. По словам г-на Хоа, данные многих чиновников и государственных служащих, занимающих ключевые должности в министерствах и ведомствах Вьетнама, были украдены хакерами. «Мы потеряли много данных, сами того не осознавая», — сказал полковник Хоа..

Остерегайтесь вредоносных программ

По словам г-на Нго Вьет Хоя, директора компании TrendMicro Security во Вьетнаме и Камбодже, всё чаще встречаются целенаправленные атаки на определённые объекты с целью кражи информации и данных. Обычно за этими атаками стоит государство или правительство. Перед атакой хакеры тщательно изучают компьютерную систему жертвы и разрабатывают вирусы, адаптированные под каждую конкретную цель.

Кроме того, хакеры также используют «человеческие» слабости жертв. Например, чтобы украсть данные с компьютера руководителя министерства или отрасли, который не находится «в сети», хакеры могут косвенно атаковать компьютер секретаря или помощника, отправляя ссылки с вредоносным кодом через социальные сети или форумы, в которых участвует секретарь руководителя. Эти вирусы затем автоматически отправляют электронные письма с адреса секретаря руководителю и тем самым устанавливают вредоносное ПО на компьютер жертвы. Многие такие вредоносные программы помогают хакерам «взять на заметку» компьютерную систему учреждения жертвы и выдать необходимую информацию. Опасность заключается в том, что большинство вредоносных программ, устанавливаемых таким способом атаки, обходят антивирусное и защитное программное обеспечение, представленное в настоящее время на рынке. По словам г-на Хоя, статистика показывает, что 70% вредоносных программ, рассылаемых по электронной почте, скрываются в текстовых файлах или электронных таблицах, что делает жертву ничего не подозревающей.

По словам г-на Нгуена Минь Дыка, директора отдела кибербезопасности Bkav, распространённые сценарии атак шпионского ПО на определённые цели включают: внедрение шпионского ПО на сайты загрузки ПО, кражу учётных записей электронной почты для отправки «файлов документов» и подмену электронных писем. Эти шпионские программы записывают нажатия на клавиатуре, делают скриншоты или видео, записывают звук с веб-камер, а также собирают и крадут файлы.

Г-н Дык отметил, что в настоящее время невозможно определить, сколько компьютеров/серверов заражено вредоносным ПО, сколько данных было украдено и изменено. Более того, весьма опасно то, что через эти вредоносные программы в какой-то момент весьма вероятно выполнение команды на уничтожение жёсткого диска, что нанесёт серьёзный ущерб.

По словам Танниена-М.