Российские госструктуры работали 9 лет, не подозревая об атаках китайских киберпреступников +8


Две отечественные компании, Positive Technologies и «Лаборатория Касперского» объявили об обнаружении кибегруппировки, которая за несколько лет успешно атаковала более 30 российских компаний и государственных структур. Предположительно, группа действует из Китая.

Сейчас стало известно о том, что взломщики успешно взламывали организации, работающие в разных отраслях промышленности, строительства, энергетики, недвижимости. Названия пострадавших организаций специалисты не раскрывают.

О китайском происхождении атак может свидетельствовать упоминание китайских разработчиков в используемых злоумышленниками инструментах. Также во время некоторых атак зафиксированы подключения с китайских IP-адресов, ну а ключи для разных версий использованных киберпреступниками программ обнаружены на китайских форумах.

По словам представителей Positive Technologies, во всех случаях участники группы использовали похожие сценарии и инструменты. Группу назвали TaskMasters, поскольку для взлома сетей компаний она использовала специфические задания в планировщике задач. Эти таски дали возможность выполнить команды ОС и запускать софт в определенное время. После успешного проникновения в локальную сеть злоумышленники изучают инфраструктуру на наличие уязвимостей, а также загружают на скомпрометированные узлы вредоносные программы, удаленно используя их для шпионажа. О том, как киберпреступники использовали полученную информацию, пока неясно.

В «Лаборатории Касперского» заявили, что отслеживают эту же группировку с 2016 года. Но здесь ее назвали BlueTravaler. По мнению экспертов «Лаборатории», мишенями для атак компании стали госструктуры преимущественно из России и СНГ, а представители группы, вероятнее всего, говорят на китайском языке.

Представители «Лаборатории» утверждают, что метод закрепления в инфраструктуре и дальнейшего распространения при помощи планировщика задач давно и часто используется злоумышленниками. Такие атаки, как правило, помогают политической разведке или же организациям, которые заняты промышленным шпионажем.

Азиатские группировки — мастера как в отношении используемых технологий, так и в плане заметания следов. Они годами остаются незамеченными антивирусным ПО, службами информационной безопасности и отдельными специалистами. Это позволяет злоумышленникам перекачивать гигабайты ценной информации, включая файлы, чертежи и другие документы.

Ну а использование планировщика задач — популярный метод, который используют такие группировки, как Cobalt и MoneyTaker. «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей», — сообщил руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.

Эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев отдельно выделил использование злоумышленниками утилиты, которая является легитимной, но не входит в стандартный состав программного обеспечения.




К сожалению, не доступен сервер mySQL