Китайская киберпреступная группировка Winnti в течение долгих лет похищает интеллектуальную собственность и другие чувствительные данные у американских и азиатских компаний, сообщают специалисты ИБ-компании Cybereason. По данным исследователей, группировка уже похитила сотни гигабайт информации у более 30 организаций по всему миру. Огромную часть похищенных данных составляют коммерческие тайны, в том числе чертежи, формулы, диаграммы, проприетарные производственные документы и пр. Кроме того, Winnti собрала сведения о сетевой архитектуре атакуемых организаций, пользовательские учетные записи, данные клиентов и бизнес-документы для использования в будущих атаках. Специалисты Cybereason передали собранные о Winnti данные ФБР, которое еще в 2019 году предупреждало о финансируемых Пекином киберпреступных группировках, занимающихся массовыми кражами интеллектуальной собственности у американских компаний в рамках инициативы по модернизации китайской экономики «Сделано в Китае 2025». Winnti (другие названия APT41, Wicked Panda и Barium) активна как минимум с 2010 года и предположительно финансируется или поддерживается правительством Китая. Некоторые ИБ-компании рассматривают Winnti как общий термин для множества хакерских группировок, работающих под контролем китайских спецслужб. Специалисты выявили последнюю вредоносную кампанию группировки в 2021 году во время расследования взлома компании стоимостью $5 млрд с производственными мощностями в Азии, Северной Америке и Европе. Расследование велось 12 месяцев и получило название «Операция пчелы-кукушки» (Operation CuckooBees), поскольку пчелы-кукушки неуловимы, а Winnti является одной из самых неуловимых хакерских группировок в мире. Одной из особенностей новой кампании Winnti является использование функции Windows под названием Common Log File System (CLFS) для сокрытия вредоносного ПО. По словам исследователей, механизм CLFS весьма неясный и до сих пор не задокументирован Microsoft. С его помощью злоумышленники прячут свою полезную нагрузку в местах, которые не сканируются решениями безопасности и ускользают от внимания ИБ-экспертов. Такой способ сокрытия вредоносного ПО не используется ни одной хакерской группировкой, кроме Winnti. В новой кампании группировка атакует доступные через интернет уязвимые серверы, через которые получает первоначальный доступ к сети. В некоторых случаях злоумышленники также эксплуатируют известные уязвимости в ERP-платформах.