Специалисты из компании BlackBerry сообщили о масштабной вредоносной кампании, в ходе которой 5 китайских киберпреступных группировок компрометировали организации из разных отраслей в попытке кражи интеллектуальной собственности и других конфиденциальных бизнес-данных.

Группировки успешно атаковали компании в нескольких критически важных отраслях посредством кросс-платформенных атак на внутренние серверы с конфиденциальными данными. Злоумышленники сосредоточились на корпоративных серверах Linux, поскольку многие из данных систем обычно не так хорошо защищены, как другие ключевые инфраструктуры.

Среди группировок 4 уже были известны специалистам ранее: Bronze Union (Emissary Panda, APT27), PassCV, Casper (Lead) и WINNTI. Пятая является относительно новой и получила название WLNXSPLINTER. Группировки, идентифицированные специалистами, предположительно, состоят из гражданских подрядчиков, которые работают в интересах правительства Китая и с готовностью обмениваются инструментами, методами, инфраструктурой и похищенной информацией между собой и правительственными коллегами. Хотя преступники преследовали разные цели и фокусировались на широком спектре задач, между ними существовала значительная степень координации в ходе атак на платформы Linux.

Специалисты обнаружили целый набор вредоносных программ уровня ядра Linux, находящихся на вооружении у китайских APT. Вредоносы включает бэкдоры, трояны для удаленного доступа и импланты для выполнения широкого спектра вредоносных действий. Одна из групп связана с огромным DoS-ботом, впервые обнаруженным в 2014 году в ходе атак в Азии.

Группировки нацелены на системы Red Hat Enterprise, CentOS и Ubuntu Linux в организациях практически в каждом географическом регионе и почти во всех отраслях промышленности, включая государственные, оборонные, военные, технологические, телекоммуникационные, фармацевтические, производственные и игровые. Злоумышленники используют взломанные серверы Linux в качестве плацдарма, оставаясь незамеченными.

В дополнение к распространению вредоносного ПО для Linux, все пять групп также нацелились на внутренние системы Windows и Android-устройства. В ходе исследования также были выявлены два новых образца вредоносного ПО для Android. Один из них очень похож на код коммерческого инструмента для тестирования на проникновение, однако вредоносное ПО было создано почти за два года до того, как инструмент поступил в продажу.