Эксперты ИБ-компании Group-IB выявили связь между китайскими проправительственными хакерами и множественными кибератаками на российский госсектор в 2020 г. По их мнению, за ними стоят как минимум две группировки или одна большая группа, объединяющая в себе несколько менее крупных. Это является нарушением соглашения между Россией и Китаем о взаимном ненападении в киберпространстве, подписанного в мае 2015 г.
Китай взломал Россию
Российские органы власти в 2020 г. подверглись ряду кибератак со стороны китайских АРТ-группировок. Об этом говорится в новом отчете компании Group IB, работающей в сфере информационной безопасности.
Отчет получил название «Искусство кибервойны» (The Art of Cyberwarfare, вероятно, по аналогии с известным древнекитайским трактатом «Искусство войны» (The art of war). Документ подготовлен руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасией Тихоновой и ведущим специалистом по анализу вредоносного кода Threat Intelligence Group-IB Дмитрием Купиным. Авторы утверждают, что АРТ-группировки, атаковавшие российский госсектор, финансируются правительством КНР.
«Китайские прогосударственные группы — одно из самых многочисленных и агрессивных хакерских сообществ. Несколько десятков групп проводят атаки по всему миру, в том числе и в России. В первую очередь хакеров интересуют государственные ведомства, промышленные объекты, военные подрядчики, научно-исследовательские институты», – сказано в документе.
Китай направил свое кибероружие на Россию
По оценке авторов отчета, хакеры атакуют российские госорганы, преследуя лишь одну цель – длительный шпионаж. Взламывая государственные компьютерные сети, злоумышленники крадут нужные им документы, при этом стараясь как можно дольше скрывать следы своего присутствия.
Маскировка под ПО «Яндекса»
Эксперты Group-IB приводят в качестве примера атаки использованием вредоноса Webdav-O. С их слов, он очень похож на троян BlueTraveller (он же RemShell), за которым может стоять китайская АРТ-группировка TaskMasters.
Согласно отчету американской ИБ-компании Sentinel Labs об атаке на российские федеральные органы власти в 2020 г. (опубликован в мае 2021 г.), приложение Webdav-O хакеры маскируют под утилиту Yandex Disk.
В ходе исследования специалисты Group-IB выяснили, что в распоряжении хакеров есть две версии Webdav-O – х64 и х86. Также им удалось установить, что троян существует с 2018 г., хотя против российских ФОИВов он был впервые использован именно в 2020 г. Отметим, что на американский онлайн-сканер вирусов VirusTotal сигнатуры Webdav-O были загружены в конце осени 2019 г.
Китайские группировки-матрешки
Отчет Sentinel Lab, упоминающийся в исследовании Group-IB, сам по себе базируется на отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ России. Он был опубликован в мае 2021 г.
В документе Sentinel Lab говорится о малвари под названием Mail-O, замаскированном под программу Mail.ru Group Disk-O. Оно тоже использовалось в атаках на российские ФОИВы в 2020 г., но его использует китайская АРТ-группировка ТА428.
Эксперты Group-IB утверждают, что в своих атаках TA428 регулярно использует троян Albaniiutas. Проанализировав его, они установили, что его нельзя считать по-настоящему самостоятельным трояном, написанным с нуля. Это всего лишь модифицированный BlueTraveller, которым пользуются хакеры из TaskMasters.
На основе всего этого Анастасия Тихонова и Дмитрий Купин пришли к выводу, что, вероятно, и TaskMasters, и ТА428 участвовали в кибератаках на российский госсектор в 2020 г. Также они не исключают вариант, что в Китае существует некая гигантская группа хакеров, которая объединяет в себе несколько мелких группировок.
«Не менее весомым звучит предположение, что существует одна большая хакерская группировка, которая состоит из нескольких подразделений разведки Народно-освободительной армии Китая. Например, подразделение 61398 из Шанхая стоит за действиями хорошо известной группировки APT1 (aka Comment Crew), а подразделение 61419 из города Циньдао связано с группировкой Tick. Каждое подразделение атакует в меру своих возможностей, времени или выстроенной очередности. Таким образом, один троян может настраиваться и дорабатываться хакерами разных подразделений с разным уровнем подготовки и целями», – говорится в отчете.
Специалисты Group-IB подчеркнули, что китайские хакерские группировки регулярно обмениваются инструментами и инфраструктурами. Они не исключают, что в случае с атаками на российские ФОИВы они тоже так делали.
Хакеры с многолетним опытом
Обе упомянутые в отчете Group-IB хакерские группировки, появились не год и даже не два назад. Например, ТА428 действует как минимум с 2013 г. По оценке экспертов компании, их основные цели – это правительственные агентства в Восточной Азии, контролирующие государственные информационные технологии, а также внутреннюю и международную политику и экономическое развитие.
Первые упоминания о группе TaskMasters датированы 2010 г., но не исключено, что она появилась еще раньше. За прошедшие 11 лет входящие в ее состав киберпреступники провели атаки на различные компании и предприятия во многих странах мира, однако больше всего их жертв находятся в России и странах СНГ. «Среди атакуемых организаций – крупные промышленные и энергетические предприятия, государственные структуры, транспортные компании», – отмечено в отчете Group-IB.
Китай нарушает договор
Следует отметить, что если за всеми атаками на российские ФОИВы действительно стоят китайские проправительственные хакеры, то это является прямым нарушением договоренности между Россией и КНР. По данным «Коммерсанта», еще в начале мая 2015 г. страны подписали соглашение о сотрудничестве в области международной информационной безопасности. Одно из положений документа гласит, что Россия и Китай не могут проводить кибератаки друг против друга. На момент публикации материала соглашение оставалось в силе и изменений не претерпевало.
Комментарии
а может это американские так маскируются ???
не понят, как была прослежена связь с Китаем ??
совершенно верно, голословное какое-то заключение, контора самопиарится
принадлежность айпишнега ничего не говорит, что этот синьюс, что пиндосская разведка.. одного поля ягоды..
часть комрадов у нас выходит через прокси - вот тебе и иностранец.
В хакинге задача наоборот спрятаться через цепочку слейвов по всему миру, не зря ботнеты сканируют сети на предмет поиска не защищенных холодильников и прочих микроволновок
Это информация которую нельзя проверить.
Я так понимаю, что косоглазые атакуют всех подряд.
Так же, как и наши или американцы.
Это же рабочий процесс - пришёл, сел в кресло и давай наяривать по всему миру, глядишь, где то слабину дадут.
это такое совпадение , очевидно же - пиндостану нужны плохие отношения между Россией и Китаем , опа , вот и хакеры с зарактерными никами нарисовались
тупизну пиндостанской пропаганды может превзойти только пиндостанская разведка
китайские дедики не продают?
Код на иероглифах? Это круче, чем на кириллице.
Комментарии к коду!!! видимо трояны шли в исходниках..
Может, атаковали, а может, Америка через своих агентов не оставляет попыток рассорить нас с китаезами.
Group IB – та ещё попса в мире ИБ. Далеко не Positive Technologies и не Elcomsoft. Какого пошиба люди там работают вполне понятно. Заявление - эталонное "highly likely" из палаты мер и весов. Это тот ещё анекдот - напихать в сигнатуры трафика и бинарников побольше иероглифов, пустить трафик через Китай, и вот уже всякие неискушённые юные дарования делают глубокомысленные выводы. Думаю, что даже без всякого злого умысла (поссорить Россию и Китай), а исключительно по наивности.
Такие заявы - последствия сделки ВВП с Бидоном, российская избушка начинает поворачиваться к Китаю задом
Мечтай. Никакого разворота от китаезов не будет. Никакой сделки с маской бидона не было, это же очевидно.
Как, говорите, по-русски будет хайли лайкли?
Если бы да кабы во рту росли грибы.
Хорошая попытка , пытайтесь ещё.
Это обычное crash-тестирование, у нас просто нет столько народу (специалистов), чтобы достойно проверить готовый продукт.
Так что не надо паники. Помогают братцы китайцы нашим исправлять дыры.