Вредоносное ПО Daxin
Daxin описывается как самая продвинутая часть вредоносного ПО, приписываемая действующим лицам, поддерживаемым Китаем. Подробности об угрозе были опубликованы в отчете исследователей безопасности. Согласно их выводам, угроза могла оставаться незамеченной в течение почти десяти лет — самые ранние идентифицированные образцы Daxin относятся к 2013 году, а последние операции по атаке, связанные с угрозой, произошли в ноябре 2021 года.
По своей сути Daxin представляет собой бэкдор-имплантат, предоставляющий злоумышленникам возможность проводить различные интрузивные действия на зараженных устройствах. Однако очевидной целью злоумышленников является сбор данных. Выбранные цели тщательно отбираются из ряда различных отраслей и секторов, включая телекоммуникации, транспорт и производство. Правительственные организации также стали мишенью Daxin. Общей характеристикой выбранных объектов является то, что они имеют надежную защиту сети и кибербезопасности.
Daxin предназначен для работы в качестве драйвера ядра Windows. Он отлично справляется с использованием одной внешней команды для перехода от одной взломанной системы к другой в сети. Чтобы оставаться незамеченным, Daxin не открывает никаких новых сетевых служб и не пытается установить связь, которая может показаться подозрительной. Вместо этого он перехватывает законные службы TCP/IP, прослушивая определенные шаблоны трафика, которые он может распознать как действительную команду. Следует отметить, что почти все расширенные возможности угрозы уже присутствовали в ее самых ранних версиях, что свидетельствует о мастерстве и дальновидности ее создателей.