В последние годы кибербезопасность стала одной из важнейших сфер государственной и корпоративной политики по всему миру, особенно в Африке, где внедрение цифровых технологий растет быстрыми темпами. Недавние события подтвердили, что африканские страны и организации стали новым прицелом масштабной спонсируемой государством кибершпионской кампании. Китайская хакерская группа под обозначением APT41, давно известная своей деятельностью в глобальном пространстве, сосредоточила усилия на атаках по всему континенту, направленных на IT-инфраструктуру правительственных и частных организаций. Исследования экспертов по безопасности, таких как специалисты компании Kaspersky, выявили целенаправленные действия злоумышленников, использующих сложные методы проникновения и добычи конфиденциальной информации. Группа APT41 связывают с китайским государством, она известна многолетней деятельностью в сфере кибершпионажа и диверсий, нацеленными на сектора телекоммуникаций, энергетики, образования и здравоохранения в десятках стран.
Однако то, что сделало новую кампанию особенно заметной, — это акцент на африканском регионе, который ранее не был столь активно атакован этим конкретным хакерским коллективом. С конца 2022 года наблюдается устойчивое увеличение активности группы в Африке, что отражает изменение геополитических и экономических приоритетов в цифровом мире. Основой успешности кампании стала целенаправленная эксплуатация уязвимостей IT-инфраструктуры жертв. Злоумышленники использовали жёстко запрограммированные названия внутренних сервисов, IP-адреса и прокси-сервера, встроенные прямо в вредоносное программное обеспечение. Одной из особо примечательных особенностей стало использование скомпрометированного SharePoint сервера, расположенного внутри инфраструктуры пострадавшей организации, для управления командно-контрольными операциями.
Эта тактика, которая сочетает традиционные методы распространения вредоносного ПО с применением доверенных корпоративных сервисов, усложняет обнаружение атак средствами, основанными на простых сигнатурах. В ходе расследования специалисты отметили, что атаки начинались с проникновения на непросматриваемые хосты и исполнения команд посредством инструментов, таких как Impacket, что позволяло злоумышленникам проверять доступность командно-контрольных серверов напрямую либо через внутренние прокси. Такие подходы обеспечивают гибкость и скрытность при ведении кибершпионских действий. После первичной разведки и сбора информации группа приступала к сбору учётных данных с привилегированными правами, что позволяло расширять доступ и перемещаться по внутренней сети жертвы. Для коммуникации с серверами управления применялся известный в хакерской среде инструмент Cobalt Strike, внедряемый с помощью техники DLL side-loading, которая значительно снижает вероятность обнаружения.
Отдельно стоит отметить, что вредоносные модули содержали проверку установленных языковых пакетов на инфицированной системе и активировались только при отсутствии японского, корейского, китайского (включая материковый Китай и Тайвань) языка. Это косвенно указывает на намерение избежать атак на системы, связанные с этими регионами, и сфокусироваться именно на внешних целях. Использование языковых фильтров — достаточно редкая, но эффективная техника, позволяющая сделать кампании менее заметной для авторских организаций и служб безопасности в странах, где проживают потенциальные создатели вредоносного ПО. Одной из ключевых тактик хакеров стала эксплуатация SharePoint сервера, преобразованного в канал командного управления. С их помощью отправлялись команды, которые выполнялись специальным вредоносным ПО на базе C#, загруженным на заражённые устройства.
Такие троянские программы, действующие через веб-оболочку CommandHandler.aspx, обеспечивали устойчивое взаимодействие с атакующими и возможность управления заражёнными системами без привлечения классических каналов связи, которые легче поддаются мониторингу. В дополнение к собственным разработкам злоумышленники активно использовали общедоступные инструменты для получения доступа и добычи данных, что затрудняет их идентификацию и классификацию. Среди этих инструментов значатся широко известные средства для снятия паролей и перемещения по сети, такие как Mimikatz и Impacket, а также мощные платформы для проведения атак — Cobalt Strike и модифицированные утилиты для кражи конфиденциальной информации. Среди программ для добычи данных выделяются Pillager и Checkout, которые ориентированы на сбор учетных данных, истории браузера, сессий и разнообразной иной чувствительной информации из популярных браузеров и приложений.
Среди используемых техник выделяется и применение встроенного языка командной строки для загрузки и запуска HTML-приложений с вредоносным JavaScript через mshta.exe. Такой подход, совмещённый с маскировкой внешнего URL под сервис GitHub, позволяет обходить системные фильтры безопасности и создавать устойчивое управление через обратный шелл. Несмотря на неопределённость нагрузки таких файлов, эксперты сходятся во мнении, что они предоставляют злоумышленникам полный контроль над заражённой системой. Расследование и анализ показали, что хакерская кампания охватывает не только раннюю фазу проникновения, но и проводит последующие активности, ориентируясь на наиболее ценные и чувствительные цели внутри корпораций и государственных учреждений.
При этом злоумышленники проявляют высокую адаптивность, модифицируя инструменты и тактики в соответствии с особенностями инфраструктуры конкретной жертвы, что говорит о задействовании опытных и хорошо оснащённых специалистов. Кроме технологических аспектов, данная кампания подчёркивает сложность современного ландшафта кибербезопасности, где границы между легитимными тестами на уязвимости и злонамеренными действиями размываются. Использование широко доступных инструментов для проведения атак усложняет задачу профессионалов по безопасности в выявлении реальных угроз и формировании эффективных защитных механизмов. Эти факторы требуют от организаций повышения осведомлённости, внедрения продвинутых систем мониторинга и постоянного обновления методологий защиты. Для Африки, как региона, интенсивно развивающего цифровую инфраструктуру, такие атаки представляют серьёзную угрозу экономической и национальной безопасности.
Проникновение в системы, управляющие критически важными сервисами, может привести к масштабным сбоям, утечкам данных и падению доверия к цифровым платформам. Глобальный характер угрозы также подталкивает местные правительства к усилению сотрудничества с международными партнёрами и внедрению комплексных стратегий киберобороны. В условиях постоянного роста цифровой трансформации и усложнения методов кибератак крайне важна проактивная позиция в безопасности. Африканским странам необходимо повысить квалификацию кадров, инвестировать в современные технологии обнаружения и реагирования на инциденты, а также создавать законодательно-правовую базу, позволяющую эффективно противостоять государственно поддерживаемым кибершпионским операциям. Подводя итог, превращение африканского континента в мишень для высокотехнологичных кибершпионских кампаний знаменует новую фазу глобального противостояния в киберпространстве.
Только объединяя усилия на национальном и международном уровнях, области IT и безопасности, возможно создать надёжную защиту, способную отразить современные угрозы и сохранить суверенитет цифрового пространства.
