Эксперты из США нашли «китайский след» в кибератаках на российские госструктуры
За «беспрецедентной» кибератакой на российские госорганы в 2020 году может стоять китайская хакерская группировка, заявили эксперты американского стартапа в сфере кибербезопасности SentinelLabs. Целью атаки был сбор разведданных, а стоящего за ней противника «не стоит недооценивать», предупредила компания
Американская компания в сфере кибербезопасности SentinelLabs обнаружила «китайский след» в масштабной кибератаке на российские госорганы, которая произошла в 2020 году. Это следует из материала, который опубликован аналитиком Хуаном Андреса Герреро-Сааде на сайте самой SentinelLabs. Одним из первых отчет о «китайском следе» заметил портал Anti-Malware, позже о нем же написал «Коммерсантъ».
Основой для исследования SentinelLabs стал доклад российской компании «Ростелеком-Солар», подготовленный вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), созданным ФСБ России. В этом документе были приведены технические подробности, которые позволили SentinelLabs более детально разобраться в ситуации, пояснил Герреро-Сааде.
Эксперт считает, что за атакой на российские правительственные учреждения стоят не западные спецслужбы, а хакерская группировка ThunderCats. По словам аналитика, на нее указывает примененное для атаки вредоносное программное обеспечение Mail-O. ThunderCats, в свою очередь, входит в более крупное объединение TA428, а «предыдущие сообщения» о TA428 отмечали ее китайское происхождение, утверждает специалист SentinelLabs. Mail-O маскируется под действительно существующий сервис Mail.ru — Disk-O. При этом Mail-O — это вариант относительно известной вредоносной программы под названием PhantomNet или SManager, используемой TA428, следует из материала на сайте SentinelLabs.
Утечка данных и риск отзыва лицензии: банки назвали главные угрозы от кибератак
Герреро-Сааде отмечает низкое качество вредоносного софта, в том числе опечатки и грамматические ошибки. Это одна из причин, почему он сомневается в западном происхождении атаки. «Хотя бы потому, что мы привыкли ожидать более высоких стандартов разработки вредоносных программ на Западе», — написал он. Эксперт подчеркнул, что ThunderCats и TA428 в целом проводят целенаправленные и ориентированные на конкретные регионы хакерские атаки, успешно действуют в «сильно большей весовой категории», собирают разведданные, и потому их «не следует недооценивать».
Доклад «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам был опубликован в мае. В нем говорится, что в 2020 году были предприняты кибератаки на федеральные органы исполнительной власти России (ФОИВ), отмечает «Коммерсантъ». Авторы доклада отметили, что отнесли группировку хакеров, устроивших атаку, к «кибернаемникам, преследующим интересы иностранного государства». Такой вывод сделали на основе оценки злоумышленников «по уровню подготовки и квалификации» — используемым технологиям и механизмам, скорости и качеству проделанной работы. О каком государстве может идти речь, в докладе не указано.
По мнению российской стороны, хакеры стремились к полной компрометации IT-инфраструктуры и краже почтовых переписок, файлов, инфраструктурных и логических схем и другой конфиденциальной информации, пишет «Коммерсантъ». Проникнуть в систему злоумышленники пытались за счет фишинга. Помимо «клона» программы от Mail.ru была и поддельная версия программы «Яндекса». Во время атаки злоумышленники незаметно отключали антивирус: «На стадии подготовки к атакам на ФОИВ злоумышленники хорошо усвоили особенности функционирования и аспекты административной работы с антивирусом производства «Лаборатории Касперского», — написали «Ростелеком-Солар» и НКЦКИ. Саму атаку они назвали «беспрецедентной как с точки зрения отдельных ее аспектов, так и по сочетанию факторов».
«Ростелеком-Солар» на запрос «Коммерсанта» ответил, что не может «разглашать никаких деталей проведенной атрибуции», поэтому не может прокомментировать выводы экспертов Sentinel Labs.