Китайская государственная хакерская группа Jewelbug взломала сеть российского поставщика IT-услуг и оставалась там более пяти месяцев. Об этом сообщается в исследовании Symantec, опубликованном на этой неделе.
За время присутствия в системе злоумышленники получили доступ к кодовым репозиториям и средам сборки программного обеспечения. По оценке специалистов, это могло позволить им проводить атаки через цепочку поставок на клиентов компании.
Для обхода защитных систем использовался переименованный инструмент Microsoft Console Debugger (CDB), скрытый под именем 7zup.exe. С его помощью Jewelbug запускала вредоносный код, повышала привилегии и удаляла журналы событий Windows, чтобы скрыть следы.
Вывод данных осуществлялся через облако Yandex Cloud — вероятно, чтобы не вызвать подозрений, так как этот сервис широко применяется внутри России.
В Symantec отметили, что китайские хакеры в последнее время активно атакуют цели не только в Азии и Южной Америке, но и в России, несмотря на кажущееся геополитическое партнёрство двух стран.