Российские госструктуры годами атаковали хакеры из Китая
Positive Technologies и «Лаборатория Касперского» обнаружили кибергруппировку с предположительно китайскими корнями, которая за несколько лет атаковала с целью кражи информации более 20 российских компаний и госструктур.
Для взлома злоумышленники использовали планировщик задач операционной системы. Подобные группы, как правило, занимаются политической разведкой или промышленным шпионажем, отмечают эксперты.
Positive Technologies обнаружила кибергруппировку с предположительно азиатскими корнями, которая атаковала ряд предприятий, в том числе из России, с целью кражи информации, сообщили “Ъ” в компании. Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия пострадавших организаций в Positive Technologies не раскрывают. В коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.
Во всех случаях участники группы использовали схожие сценарии и инструменты, уточняют в Positive Technologies. Группу назвали TaskMasters, поскольку она создавала специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. Как злоумышленники использовали полученную информацию, неизвестно.
В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке. В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, указывают в компании.
Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов. Они годами могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы, отмечает руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Использование планировщика задач — популярный метод, характерный, например, для группировок Cobalt и MoneyTaker, атакующих банковский сектор, указывает он: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей». Необычность ситуации с TaskMasters, добавляет эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев, в использовании конкретной утилиты, которая хотя и является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.
Для взлома злоумышленники использовали планировщик задач операционной системы. Подобные группы, как правило, занимаются политической разведкой или промышленным шпионажем, отмечают эксперты.
Positive Technologies обнаружила кибергруппировку с предположительно азиатскими корнями, которая атаковала ряд предприятий, в том числе из России, с целью кражи информации, сообщили “Ъ” в компании. Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия пострадавших организаций в Positive Technologies не раскрывают. В коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.
Во всех случаях участники группы использовали схожие сценарии и инструменты, уточняют в Positive Technologies. Группу назвали TaskMasters, поскольку она создавала специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. Как злоумышленники использовали полученную информацию, неизвестно.
В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке. В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, указывают в компании.
Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов. Они годами могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы, отмечает руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Использование планировщика задач — популярный метод, характерный, например, для группировок Cobalt и MoneyTaker, атакующих банковский сектор, указывает он: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей». Необычность ситуации с TaskMasters, добавляет эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев, в использовании конкретной утилиты, которая хотя и является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
0
Вот на наши выборы они точно повлиять не могут, потому как у нас их нет.
- ↓
0
США прослyшивали Меркель. Разведкy никто не отменял.
- ↓