Кража секретов парламента через GitHub

Эксперты по кибербезопасности раскрыли глобальную шпионскую операцию, в ходе которой азиатские хакеры на протяжении двух лет похищали государственные секреты. Целями стали правительственные сети по всему миру, включая аппарат одного из парламентов. Следы ведут к новой группировке TGR-STA-1030, действующей при поддержке своего государства.

Инструкция по проникновению была проста и эффективна. Чиновникам отправляли фишинговые письма с актуальными темами — например, о реформах в ведомстве. В письме находилась ссылка на архив. Внутри — загрузчик DiaoYu («Рыбалка»), который проверял окружение и, если всё безопасно, скачивал шпионский софт напрямую с публичного GitHub, маскируя атаку под легитимный трафик.

Для захвата контроля использовались известные, но не закрытые уязвимости. Хакеры атаковали серверы Microsoft Exchange, SAP и сетевое оборудование, не применяя «нулевых дней». После взлома они устанавливали туннели и веб-оболочки, а для управления использовали современные фреймворки, написанные на языке Go, что осложняло обнаружение.

Серверы управления были разбросаны по легальным хостингам в США и Европе, а для связи часто использовались анонимные прокси. Это позволяло годами оставаться незамеченными, хотя несколько прямых подключений с IP-адресов азиатского провайдера указали на регион операторов.

Фокус атак был стратегическим: энергетика, финансы, добыча ресурсов и законодательная власть. Взлом парламентской сети — яркий пример цели, где можно добыть как политические планы, так и данные о будущих законах и международных договорах.

Эта операция показала новую реальность цифрового шпионажа. Государственные тайны теперь можно похищать, используя публичные IT-платформы и старые уязвимости. Глобальность и терпение атакующих означают, что под угрозой может оказаться любая страна, отстающая в обновлении своих цифровых крепостей.