Эксперты из США нашли «китайский след» в кибератаках на российские госструктуры

Американская компания в сфере кибербезопасности SentinelLabs обнаружила «китайский след» в масштабной кибератаке на российские госорганы, которая произошла в 2020 году. Это следует из материала, который опубликован аналитиком Хуаном Андреса Герреро-Сааде на сайте самой SentinelLabs. Одним из первых отчет о «китайском следе» заметил портал Anti-Malware, позже о нем же написал «Коммерсантъ».

Основой для исследования SentinelLabs стал доклад российской компании «Ростелеком-Солар», подготовленный вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), созданным ФСБ России. В этом документе были приведены технические подробности, которые позволили SentinelLabs более детально разобраться в ситуации, пояснил Герреро-Сааде.

Эксперт считает, что за атакой на российские правительственные учреждения стоят не западные спецслужбы, а хакерская группировка ThunderCats. По словам аналитика, на нее указывает примененное для атаки вредоносное программное обеспечение Mail-O. ThunderCats, в свою очередь, входит в более крупное объединение TA428, а «предыдущие сообщения» о TA428 отмечали ее китайское происхождение, утверждает специалист SentinelLabs. Mail-O маскируется под действительно существующий сервис Mail.ru — Disk-O. При этом Mail-O — это вариант относительно известной вредоносной программы под названием PhantomNet или SManager, используемой TA428, следует из материала на сайте SentinelLabs.

Утечка данных и риск отзыва лицензии: банки назвали главные угрозы от кибератак

Герреро-Сааде отмечает низкое качество вредоносного софта, в том числе опечатки и грамматические ошибки. Это одна из причин, почему он сомневается в западном происхождении атаки. «Хотя бы потому, что мы привыкли ожидать более высоких стандартов разработки вредоносных программ на Западе», — написал он. Эксперт подчеркнул, что ThunderCats и TA428 в целом проводят целенаправленные и ориентированные на конкретные регионы хакерские атаки, успешно действуют в «сильно большей весовой категории», собирают разведданные, и потому их «не следует недооценивать».

Доклад «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам был опубликован в мае. В нем говорится, что в 2020 году были предприняты кибератаки на федеральные органы исполнительной власти России (ФОИВ), отмечает «Коммерсантъ». Авторы доклада отметили, что отнесли группировку хакеров, устроивших атаку, к «кибернаемникам, преследующим интересы иностранного государства». Такой вывод сделали на основе оценки злоумышленников «по уровню подготовки и квалификации» — используемым технологиям и механизмам, скорости и качеству проделанной работы. О каком государстве может идти речь, в докладе не указано.

Зашифрованные отношения: как атака на трубопровод Colonial Pipeline может помочь России и США наладить диалог

По мнению российской стороны, хакеры стремились к полной компрометации IT-инфраструктуры и краже почтовых переписок, файлов, инфраструктурных и логических схем и другой конфиденциальной информации, пишет «Коммерсантъ». Проникнуть в систему злоумышленники пытались за счет фишинга. Помимо «клона» программы от Mail.ru была и поддельная версия программы «Яндекса». Во время атаки злоумышленники незаметно отключали антивирус: «На стадии подготовки к атакам на ФОИВ злоумышленники хорошо усвоили особенности функционирования и аспекты административной работы с антивирусом производства «Лаборатории Касперского», — написали «Ростелеком-Солар» и НКЦКИ. Саму атаку они назвали «беспрецедентной как с точки зрения отдельных ее аспектов, так и по сочетанию факторов».

«Ростелеком-Солар» на запрос «Коммерсанта» ответил, что не может «разглашать никаких деталей проведенной атрибуции», поэтому не может прокомментировать выводы экспертов Sentinel Labs.

30 самых дорогих компаний Рунета. Рейтинг Forbes

30 самых дорогих компаний Рунета. Рейтинг Forbes

30 фото