Кибершпионаж нового поколения: кто стоит за операцией GLASSBRIDGE?

Сложные стратегии дезинформации, замаскированные под правду.


cit6r1fx5p9vm1glsmm5cyfeqiy3ix6t.jpg


В США зафиксирована активность кибергруппировки Storm-2077, связанной с Китаем. По данным Microsoft, с января 2024 года эта группировка атаковала госучреждения, оборонную промышленность, авиацию, телекоммуникации, финансовый и юридический сектора по всему миру.

Атаки Storm-2077 основаны на использовании уязвимостей в периферийных устройствах и внедрении вредоносных программ, таких как Cobalt Strike, Pantegana и Spark RAT. Эксперты Recorded Future связывают её с группой TAG-100.

Злоумышленники применяют фишинговые письма для кражи данных учётных записей и получения доступа к приложениям, связанным с управлением электронными документами. Кроме того, они используют скомпрометированные учётные данные для проникновения в облачные системы, где создают приложения с правами на чтение электронной почты.

На фоне этой активности Google выявил масштабную китайскую кампанию GLASSBRIDGE, которая использует фейковые новостные сайты для продвижения пропагандистских материалов. Более тысячи таких сайтов были заблокированы в Google News и Google Discover.

По словам исследователей Google, сайты управляются PR-компаниями, такими как Shanghai Haixun Technology, Shenzhen Bowen Media и DURINBRIDGE. Эти компании распространяют прокитайский контент, маскируя его под независимые публикации на субдоменах известных новостных порталов.

Примеры таких поддоменов включают «markets.post-gazette[.]com» и «finance.azcentral[.]com». Контент на этих сайтах адаптирован под региональные аудитории, что помогает представлять его как достоверные новости.

Google и другие компании продолжают активно противодействовать этим операциям, подчёркивая рост сложности и изощрённости информационных атак, выходящих за рамки привычных методов социальных сетей.