Хакеры из Китая похитили данные нефтегазовых компаний
10 февраля, в ходе доклада компания McAfee сообщила о зафиксированной ей ранее хакерской атаки проводимой на крупные мировые компании нефтегазовой отрасли. В докладе не были упомянуты названия пострадавших компаний, сейчас же их названия стали известны: Exxon Mobil (XOM), Royal Dutch Shell, BP (BP), Marathon Oil (MRO), ConocoPhillips (COP), Baker Hughes (BHI) и некоторые другие. Хакерская атака получила красивое название “Ночной Дракон” (Night Dragon).
Атака была тщательно спланирована и проходила в несколько этапов на протяжении нескольких лет. Основным направлением атаки было получение внутренней информации компании для анализа состояния инфраструктуры отрасли. Первым этапом было проведено исследование официальных и корпоративных веб-сайтов компаний. В ходе исследований веб-сайты были подвергнуты сканированию на наличие известных уязвимостей, злоумышленников интересовали уязвимости, направленные на получение доступа к базе данных, такие как SQL-инъекции. В ряде случаев успешно проведенная атака на уязвимый веб-сайты позволяла получить контроль над системой и вести постоянный мониторинг изменения информации в базах данных.
Второй этап объединял в себе несколько параллельных действий. На этом этапе выполнялся анализ полученных хэшей паролей, с помощью которых можно было бы получить доступ к внутренним ресурсам компании. А так как, многие атакованные серверы совмещали в себе и внутрисетевые функции, на них работали сервисы, отвечающие за документооборот компании и внутренние корпоративные веб-сайты. Внутренние ресурсы компании применялись злоумышленниками для распространения вредоносного программного обеспечения (например: модификации трояна zwShell), обеспечивающего сбор информации на рабочих местах. Для распространения троянов использовались эксплойты к распрастраненным уязвимостям, полученные через китайские веб-сайты подобные Bin-Blog. Распространяемые трояны объединялись в несколько ботнетов, управляющие центры которых находились в США, Голландии и Китае. Также, на веб-серверы устанавливались WebShell и ASPXSpy для облегчения управления сервером, изменения внутрисетевых настроек и обеспечения мониторинга системы.
Последним этапом атаки стала почтовая рассылка с вредоносным внедрением, именно она и вывела исследователей безопасности на источники атаки и позволила раскрыть масштабы угрозы. По сетевой активности были обнаружены основные источники атаки, среди которых преимущественно были китайские IP-адреса.
Обнаруженные вредоносные внедрения и используемые вспомогательные средства имели китайский интерфейс, всё это позволило экспертам сделать вывод, что за атакой “Ночной Дракон” стоят китайские хакеры, выполняющие сбор информации по заказу правительства страны. В ходе проведенной атаки хакеры не использовали какие-то изощренные методы, а применяли общедоступные средства. “Это говорит о крайне печальном состоянии систем безопасности, защищающих нашу ключевую инфраструктуру”, – прокомментировал инцидент вице-президент McAfee по борьбе с вирусными угрозами Дмитрий Альперович.