Китайцы продолжают мучать Google

Независимые эксперты по ИТ-безопасности утверждают, что несмотря на всю международную шумиху, поднятую компанией Google по поводу атак на ее ресурсы со стороны китайских хакеров, последние де-факто не прекращали атаковать проекты Google и в первую очередь систему электронной почты Gmail.

"После того, как происходит компрометация и она освещается в новостях, атакующие никуда не деваются и не прекращают свою деятельность. Они продолжают свою работу как обычно", - говорит независимый специалист по ИТ-безопасности Мила Паркур.

В начале июня этого года Google анонсировала, что компании удалось разрушить таргетированную фишинговую кампанию, направленную на компрометацию ряда почтовых аккаунтов в Gmail, принадлежавших высокопоставленным представителям из США и Южной Кореи, а также китайских журналистов и независимых политических активистов. В Google заявили, что располагают данными, согласно которым атака проводилась и контролировалась с территории восточной части Китая.

Паркур сообщила о данной атаке в своем блоге за пару месяцев до официального анонса Google. Впрочем, в самой КНР все обвинения о причастности властей к данным атакам отвергают.

Сейчас независимые эксперты еще раз заявляют, что китайские хакерские атаки не прекращаются. "Атакующие продолжают свои действия. В сравнении с первоначальными методиками изменения произошли крайне незначительные", - отмечает Паркур.

Отметим, что на неделе похожий отчет под названием "Blinded: The Decline of U.S. Earth Monitoring Capabilities and its Consequences for National Security" опубликовал центр безопасности CNAS (Center for a New American Security).

Оба заявления говорят, что китайские хакеры используют высокотаргетированную технику - каждый обладатель ящика получает письмо, написанное специально под него. Обычные пользователи практически никогда не становятся жертвами подобных атак, так как они практикуются в отношении высокопоставленных жертв из сферы политики, журналистики и общественной деятельности.

Паркур отмечает, что зачастую хакеры, прежде чем атаковать ту или иную жертву, достаточно долго следят за ней, чтобы отправляемое письмо было максимально релевантным. Единственное, что отличает все последние атаки - это технические данные, в частности ложный почтовый клиент-отправщик Foxmail, а также одна и та же транзитная компьютерная сеть на Тайване, через которую форвардируются сообщения для дополнительной маскировки реального отправителя. Кроме того, если пользователь все-таки попадается на удочку хакеров и передает под тем или иными предлогом им свой логин и пароль, то полученные логины/пароли собираются на арендованном сервере, размещенном в американском Хьюстоне (шт Техас).

Проанализировав содержимое фишинговых атак, Паркур утверждает, что письма в большинстве случаев имеют военную, политическую или общественно-значимую тематику, что совершенно нетипично для обычных хакеров, которыми движет лишь финансовая нажива.

"Очевидно, что в Китае работает большая группа хакеров, так как на все взломанные аккаунты в Gmail злоумышленники входили не позже, чем через два часа после передачи им паролей, то есть они постоянно отслеживают работу кампании", пишет Паркур.

© xakepy.cc