Działania wyrafinowanej, powiązanej z Chinami grupy hakerskiej zostały przerwane niedawno przez koalicję dostawców rozwiązań bezpieczeństwa. Na przestrzeni ostatnich sześciu lat hakerzy włamali się do komputerów wielu firm notowanych na prestiżowej liście Fortune 500, dziennikarzy, organizacji ekologicznych, producentów oprogramowania, ośrodków akademickich, organizacji prodemokratycznych i agencji rządowych na całym świecie.

Przeciwko grupie cyberszpiegowskiej o nazwie Axiom podjęto tzw. „działania przechwytujące”, a informację o nich podano do publicznej wiadomości. W inicjatywę zaangażowały się takie firmy, jak m.in. Novetta, Cisco Systems, Microsoft, FireEye, F-Secure, iSight Partners, Symantec, Tenable Network Security, ThreatConnect, ThreatTrack Security i Volexity.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Chiński sklep App Store nie oferuje już tych popularnych aplikacji

Działania przechwytujące, prowadzone przez dostawców pod nazwą Operacja SMN pod przewodnictwem firmy Novetta, doprowadziły do usunięcia 43 000 złośliwych programów zainstalowanych przez członków grupy Axiom na naruszonych komputerach.

Naruszone komputery były czyszczone za pomocą narzędzia Microsoft o nazwie MSRT (Malicious Software Removal Tool), aktualizowanego i dystrybuowanego w odstępach miesięcznych za pośrednictwem Windows Update, a także za pomocą rozwiązań bezpieczeństwa oferowanych przez innych dostawców zaangażowanych w całą operację.

Udało się zidentyfikować 180 infekcji wywołanych przez złośliwy program o nazwie Hikit, stosowany przez grupę Axiom w celu eksfiltracji danych, ich składowania i zarządzania nimi w ostatnich fazach ataków.

Hikit to jeden ze złośliwych programów podpisanych cyfrowo certyfikatem należącym do firmy dostarczającej rozwiązania bezpieczeństwa o nazwie Bit9. Uzyskano go na skutek włamania hakerów do infrastruktury sieciowej tej firmy w 2012 roku. W ten i wiele innych ataków byli rzekomo zaangażowani członkowie grupy Axiom. Stosowane przez nich narzędzia i infrastruktura pokrywają się z tymi wykorzystywanymi w wielu kampaniach cyberszpiegowskich na przestrzeni ostatnich lat, m.in. Operacji Aurora, która dotknęła takie organizacje, jak chociażby Google.

- Axiom to świetnie wyposażona, zdyscyplinowana i wyrafinowana podgrupa większej siatki cyberszpiegowskiej, która realizuje swoje działania w sposób nieskrępowany od ponad sześciu lat – twierdzi Novetta w swoim raporcie. – Mamy pewność, że organizacja zlecająca działania grupie Axiom to część chińskiego aparatu wywiadowczego.

Zebrane dotychczas materiały wskazują na to, że grupa Axiom zajmuje się kradzieżą danych i realizacją długofalowych działań związanych z zarządzaniem kampaniami cyberszpiegowskimi. Po naruszeniu sieci komputerowej grupa monitoruje i dostosowuje swoje narzędzia do zmian konfiguracji sieci lub nowych sposobów kontroli bezpieczeństwa wprowadzanych w późniejszym okresie. W niektórych przypadkach jej obecność można mierzyć w latach.