Хакеры, связанные с китайскими государственными структурами, предположительно взломали российского поставщика IT-услуг в рамках, по всей видимости, шпионской кампании - редкий случай, когда китайские киберпреступники атакуют предполагаемого союзника, сообщили исследователи.
Согласно новому отчёту компании по кибербезопасности Symantec, злоумышленники получили доступ к системам сборки программного обеспечения и хранилищам кода российской компании в период с января по май 2025 года — что может свидетельствовать о попытке атаки на цепочку поставок программного обеспечения, направленной на клиентов этой фирмы.
Symantec называет группировку Jewelbug и отмечает, что её деятельность сосредоточена на долгосрочном шпионаже, а не на финансовой выгоде. Также известная под названием Earth Alux, эта группа активна с середины 2023 года и атакует государственные и корпоративные сети в Южной Америке, Южной и Юго-Восточной Азии, а также на Тайване.
Поставщики IT-услуг особенно привлекательны для хакеров, поскольку часто имеют глубокий доступ к системам своих клиентов и могут распространять обновления программного обеспечения по множеству сетей одновременно. Это означает, что недавний взлом мог открыть злоумышленникам путь к проникновению в десятки российских компаний, что позволило бы провести масштабную кибершпионскую или даже деструктивную операцию, отмечает Symantec.
Хакеры использовали Yandex Cloud — легитимную российскую облачную платформу — для вывода данных, вероятно, чтобы избежать обнаружения. «Yandex — это законный и широко используемый облачный сервис в России. Поэтому он вряд ли будет заблокирован российскими предприятиями, и его использование вызывает меньше подозрений», — говорится в отчёте исследователей.
Кроме России, Jewelbug за последний год скомпрометировала южноамериканское правительственное агентство, тайваньскую софтверную компанию и IT-провайдера в Южной Азии, сообщили в Symantec. В некоторых из этих инцидентов исследователи обнаружили новую «закладку» (backdoor), которая, по-видимому, всё ещё находится в стадии разработки — что свидетельствует о расширении технических возможностей группы.
Кампания указывает на то, что «Россия не является исключением» для китайских кибершпионских операций, отметили исследователи. Хотя Москва и Пекин обычно рассматриваются как стратегические партнёры.
Отчёт Symantec следует за серией расследований, указывающих на рост активности китайских хакеров против российских структур.
Газета The New York Times, ссылаясь на аналитиков в сфере кибербезопасности и утечку документа ФСБ России, недавно сообщила, что с начала полномасштабного вторжения России в Украину Китай неоднократно осуществлял кибератаки на российские госагентства и оборонные компании с целью похищения военной информации.
В прошлом году московская компания Kaspersky выявила взломы российских государственных и технологических сетей с использованием инструментов, связанных с китайскими группами APT31 и APT27. Ранее в этом году издание Politico сообщило, что китайские хакеры, финансируемые государством — в том числе известные как Mustang Panda и Tonto Team, — атаковали российские компании в аэрокосмической и оборонной отраслях.
«Jewelbug, как относительно новая китайская APT-группа, заслуживает пристального внимания», — заявила Symantec. — «Она обладает навыками для разработки собственного вредоносного ПО и способна сохранять длительное и скрытное присутствие в сетях».
- Источник: https://therecord.media/rare-china-linked-intrusion-russian-tech-firms
Согласно новому отчёту компании по кибербезопасности Symantec, злоумышленники получили доступ к системам сборки программного обеспечения и хранилищам кода российской компании в период с января по май 2025 года — что может свидетельствовать о попытке атаки на цепочку поставок программного обеспечения, направленной на клиентов этой фирмы.
Symantec называет группировку Jewelbug и отмечает, что её деятельность сосредоточена на долгосрочном шпионаже, а не на финансовой выгоде. Также известная под названием Earth Alux, эта группа активна с середины 2023 года и атакует государственные и корпоративные сети в Южной Америке, Южной и Юго-Восточной Азии, а также на Тайване.
Поставщики IT-услуг особенно привлекательны для хакеров, поскольку часто имеют глубокий доступ к системам своих клиентов и могут распространять обновления программного обеспечения по множеству сетей одновременно. Это означает, что недавний взлом мог открыть злоумышленникам путь к проникновению в десятки российских компаний, что позволило бы провести масштабную кибершпионскую или даже деструктивную операцию, отмечает Symantec.
Хакеры использовали Yandex Cloud — легитимную российскую облачную платформу — для вывода данных, вероятно, чтобы избежать обнаружения. «Yandex — это законный и широко используемый облачный сервис в России. Поэтому он вряд ли будет заблокирован российскими предприятиями, и его использование вызывает меньше подозрений», — говорится в отчёте исследователей.
Кроме России, Jewelbug за последний год скомпрометировала южноамериканское правительственное агентство, тайваньскую софтверную компанию и IT-провайдера в Южной Азии, сообщили в Symantec. В некоторых из этих инцидентов исследователи обнаружили новую «закладку» (backdoor), которая, по-видимому, всё ещё находится в стадии разработки — что свидетельствует о расширении технических возможностей группы.
Кампания указывает на то, что «Россия не является исключением» для китайских кибершпионских операций, отметили исследователи. Хотя Москва и Пекин обычно рассматриваются как стратегические партнёры.
Отчёт Symantec следует за серией расследований, указывающих на рост активности китайских хакеров против российских структур.
Газета The New York Times, ссылаясь на аналитиков в сфере кибербезопасности и утечку документа ФСБ России, недавно сообщила, что с начала полномасштабного вторжения России в Украину Китай неоднократно осуществлял кибератаки на российские госагентства и оборонные компании с целью похищения военной информации.
В прошлом году московская компания Kaspersky выявила взломы российских государственных и технологических сетей с использованием инструментов, связанных с китайскими группами APT31 и APT27. Ранее в этом году издание Politico сообщило, что китайские хакеры, финансируемые государством — в том числе известные как Mustang Panda и Tonto Team, — атаковали российские компании в аэрокосмической и оборонной отраслях.
«Jewelbug, как относительно новая китайская APT-группа, заслуживает пристального внимания», — заявила Symantec. — «Она обладает навыками для разработки собственного вредоносного ПО и способна сохранять длительное и скрытное присутствие в сетях».
- Источник: https://therecord.media/rare-china-linked-intrusion-russian-tech-firms