Крадущийся код, затаившийся дракон. Эксперты из США утверждают, что за беспрецедентными хакерскими атаками на Россию стоит Китай

отметили
31
человек
в архиве
Крадущийся код, затаившийся дракон. Эксперты из США утверждают, что за беспрецедентными хакерскими атаками на Россию стоит Китай

Эксперты из американской IT-компании Sentinel Labs пришли к выводу, что за «беспрецедентной серией кибератак» на органы государственной власти РФ, о которой недавно сообщили «Ростелеком-Солар» и Национальный координационный центр по компьютерным инцидентам ФСБ, стоят хакеры из Китая. Ранее специалисты этих двух российских структур лишь отмечали, что диверсию осуществили «кибернаемники, преследующие интересы иностранного государства». Между РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга.

«Грозовые кошки»

Аналитики специализирующейся на компьютерной безопасности американской компании Sentinel Labs обнародовали отчет о серии кибератак на российские государственные ресурсы. Заняться разбором диверсии им позволил доклад, опубликованный в мае центром противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, создан ФСБ РФ).

В докладе анализировалась серия выявленных в 2020 году целенаправленных атак профессиональной кибергруппировки на федеральные органы исполнительной власти (ФОИВ) РФ. Его составители пришли к выводу, что за диверсией стоят «кибернаемники, преследующие интересы иностранного государства». Но в документе не было сказано, какого именно.

При этом российский отчет содержал большое количество информации о вредоносном программном обеспечении, задействованном в этой серии атак, а также о методах действия злоумышленников. Это и позволило специалистам из Sentinel Labs заняться поиском хакеров.

Они утверждают, что за атакой на российские ФОИВ стоят не западные спецслужбы, как изначально предположили многие эксперты, а китайская группировка с кодовым названием ThunderCats («Грозовые кошки»), входящая в более крупную группу TA428. Свои выводы американцы основывают на анализе вредоносной программы Mail-O, задействованной при этих атаках. По мнению экспертов из Sentinel Labs, Mail-O является вариантом относительно известной вредоносной программы под названием PhantomNet или SManager, используемой TA428. По данным Sentinel Labs, TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов. Американские аналитики отмечают, что речь идет о целенаправленных атаках с целью сбора разведданных, и предупреждают, что за ними стоит «противник, которого не стоит недооценивать».

«Полная компрометация»

В майском докладе Solar JSOC и НКЦКИ пояснялось, что Mail-O — это программа-загрузчик, маскирующаяся под легитимную утилиту компании Mail.ru Group Disk-O. Злоумышленники также использовали вредоносную программу Webdav-O, маскирующуюся под утилиту Yandex Disk.

«Главной целью хакеров была полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ»,— говорится в документе.

Для проникновения в инфраструктуры органов власти злоумышленники использовали три основных вектора атак: фишинг (тщательно проработанный под специфику деятельности того или иного органа госвласти), эксплуатацию уязвимостей веб-приложений, опубликованных в интернете, и взлом инфраструктуры подрядных организаций.

После полной компрометации инфраструктуры целью хакеров был сбор конфиденциальной информации со всех возможных источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

При этом в докладе Solar JSOC и НКЦКИ эта серия атак была названа «беспрецедентной». Такую характеристику аналитики дали этой диверсии из-за сочетания ряда факторов, среди которых уровень угрозы (федеральное значение), уровень киберпреступников (самый продвинутый, 5-й уровень, согласно модели уровней злоумышленников Solar JSOC), цели кибератак (полная компрометация инфраструктуры и кража конфиденциальных государственных данных), используемый инструментарий (часть разработанного вредоносного программного обеспечения ранее нигде не встречалась), уровень скрытности (за счет использования недетектируемого вредоносного программного обеспечения, легитимных утилит и понимания внутренней логики работы применяемых в органах власти средств защиты информации), сочетание сразу нескольких векторов атак для создания дублирующих каналов управления, тщательность подготовки (индивидуальная проработка фишинга с учетом деятельности ФОИВ и отдельных его структур, разработка специализированного вредоноса, исследование деятельности и инфраструктур подрядчиков).

“Ъ” обратился за комментарием по поводу вывода Sentinel Labs о причастности китайцев к организации этих атак в компанию «Ростелеком-Солар». Там отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки». «Мы в целом не можем разглашать никаких деталей проведенной атрибуции. По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel»,— добавили в компании.

«Главная цель — шпионаж»

Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо на вопрос “Ъ”, похожа ли версия Sentinel Labs на правду, ответил, что его компания не занимается публичной атрибуцией атак. В то же время собеседник “Ъ” добавил: «Что касается версии Хуана (Хуан Андрес Герреро-Сааде, аналитик Sentinel Labs.— “Ъ”), то она состоит в том, что, во-первых, неверное написание имени экспортируемой функции (Entery) уже встречалось раньше в известных вредоносах; во-вторых, в том, что на точке входа службы Windows код тоже выглядит знакомо. Дальше называются вредоносы, в которых все это встречалось ранее. Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю». В целом, по словам Дениса Легезо, госсектор — одна из многочисленных сфер интереса китаеязычных злоумышленников, но они не ограничиваются им.

В свою очередь, Анастасия Тихонова, руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB, сказала “Ъ”, что «российские организации регулярно становятся целями проправительственных групп разных стран мира, в том числе и из Китая». «Согласно нашему отчету “Hi-Tech Crime Trends 2020–2021”, наибольшее количество активных прогосударственных групп сосредоточено именно в Китае — 23,— напомнила она.— Большинство атак в России приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков».

По ее словам, чаще всего первоначальный вектор атаки — отправка по электронной почте фишинговых писем с вредоносным вложением. «Чтобы попасть в сеть жертвы, атакующие используют не только проверенные временем эксплойты, но в последнее время тратят силы и средства для обнаружения уязвимостей “нулевого дня” (ранее не выявленных разработчиками софта.— “Ъ”),— поясняет Анастасия Тихонова.— Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми».

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев в беседе с “Ъ” отметил, что в последнее время китайские хакеры активно атакуют фармацевтические и биотехнологические компании.

«Также они постоянно нацелены на добычу государственных и военных секретов, данных о работе транспортной инфраструктуры,— говорит он.— Что касается коммерческих секретов компаний из различных отраслей, то Китай уже не первый год широко использует инсайдерские ресурсы еще успешнее, чем тактику кибератак». По его словам, речь прежде всего идет про внедрение китайских специалистов в американские компании из сферы высоких технологий.

Напомним, что в 2015 году Россия и Китай подписали межправительственное соглашение о сотрудничестве в области международной информационной безопасности. Среди прочего стороны обязались не осуществлять кибератаки друг против друга.

Между тем недавно “Ъ” сообщал, что китайские хакеры якобы атаковали Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России, отправив его гендиректору изображения подводной лодки с вредоносным кодом. Об этом тоже заявила американская компания Cyberreason.

В то же время заместитель главы МИД РФ Олег Сыромолотов в интервью «РИА Новости» сообщил, что большинство кибератак на страну в 2020 году осуществлялось с адресов, зарегистрированных в США, Германии и Нидерландах.

Елена Черненко, Никита Королев

Добавил suare suare 11 Июня 2021
Дополнения:

Эксперт: против России действуют настоящие кибервойска

11:18 12.05.2021 (обновлено: 11:20 12.05.2021)
 
 
Большинство кибератак на Россию в 2020 году осуществлено с адресов в Соединенных Штатах, Германии и Нидерландов, сообщили в МИД. В эфире радио Sputnik эти данные прокомментировал кандидат политических наук Павел Фельдман.
 
Большинство попыток осуществить вредоносную сетевую активность против России в минувшем году фиксировалось с адресов, зарегистрированных в США, Германии и Нидерландах, заявил заместитель министра иностранных дел РФ Олег Сыромолотов.
Соответствующими данными дипломат поделился с РИА Новости, ссылаясь на Национальный координационный центр по компьютерным инцидентам.
 
По словам Сыромолотова, наиболее частыми мишенями атак становились объекты, связанные с госуправлением, финансовым сектором, ВПК, здравоохранением и разработкой вакцин.
 
В эфире радио Sputnik заместитель директора Института стратегических исследований и прогнозов РУДН, кандидат политических наук Павел Фельдман отметил, что на эту деятельность в западных странах направлены значительные силы.
 

 
Для противодействия киберугрозам в Вооруженных силах России были созданы войска информационных технологий. Однако, по словам политолога, в их работе есть существенное отличие.
 
МИД перечислил источники кибератак на Россию
 
08:03 12.05.2021 (обновлено: 09:13 12.05.2021
 
 
Большинство попыток осуществить вредоносную сетевую активность против России в минувшем году фиксировалось с адресов, зарегистрированных в США, Германии и Нидерландах, заявил в интервью РИА Новости заместитель министра иностранных дел РФ Олег Сыромолотов.
 
Соответствующими данными дипломат поделился, ссылаясь на Национальный координационный центр по компьютерным инцидентам.
По словам Сыромолотова, наиболее частыми мишенями атак становились составляющие критически важную инфраструктуру элементы: объекты госуправления, ВПК и финансовой отрасли.
 
Кроме того, кибератаки в 2020 году были направлены на связанные с областью охраны здоровья объекты, в частности, касающиеся разработки вакцин, развития науки и транспорта, добавляет «Газета.ru».
 
О проводимых на Россию кибератаках в эфире радио Sputnik высказался политолог Павел Фельдман:
 
В начале мая некоторые СМИ попытались связать кибератаку на крупнейшую компанию-оператора трубопроводов в США Colonial Pipeline с действиями России в сетевом пространстве.
 
Однако президент США Джо Байден заявил, что у разведки нет данных, что именно российские госорганы имеют отношение к попытке взлома. В то же время американский лидер не исключил, что причастные к работе программ-вымогателей злоумышленники могут находиться в России.
 
До этого американская сторона неоднократно высказывалась о якобы причастности российского государства или его отдельных представителей к кибератакам и другим преступлениям в Сети. Официальная Москва отвергает подобные обвинения, которые озвучиваются без подтверждения фактами.
 
Ранее радио Sputnik сообщило, что в СМИ назвали вирус, атаковавший крупнейшую трубопроводную компанию страны.
 
Кремль «категорически» ответил на обвинения в атаке на Colonial Pipeline
 
13:05 11.05.2021 (обновлено: 15:02 11.05.2021)
 
 
Москва категорически не приемлет обвинения по поводу проводимых кибератак на любые иностранные компании, заявил журналистам пресс-секретарь президента РФ Дмитрий Песков.
 
Некоторые СМИ пытались связать кибератаку на компанию-оператора трубопроводов в США Colonial Pipeline с действиями России в мировом сетевом пространстве, однако президент США Джо Байден заявил, что у американской разведки нет данных, что именно представители российских государственных органов имеют отношение к кибератаке. В то же время американский лидер не исключил, что причастные к программам-вымогателям могут находиться в России.
 
Восьмого мая в Colonial Pipeline заявили о кибератаке на свои системы. Реагируя на попытку сетевого вторжения, компании пришлось отключить некоторые системы, так как угроза на время остановила все операции, связанные с трубопроводом, и затронула безопасность некоторых информационных систем.
 
Ранее радио Sputnik сообщило, что посольство РФ в США отвергло обвинения во взломе Colonial Pipeline.
Добавил suare suare 11 Июня 2021
Комментарии участников:
precedent
+9
precedent, 11 Июня 2021 , url

Забыли добавить: «Мы за сближение России и Китая, особенно в противовес США». 

Stopor
+8
Stopor, 11 Июня 2021 , url

Все китайские хацкеры сидят в Одессе, на Малой Арнаутской улице. © О.Бендер

bvv4095
0
bvv4095, 11 Июня 2021 , url

Мы за сближение России и Китая

 

suare
+2
suare, 11 Июня 2021 , url

vvsupervv66
+2
vvsupervv66, 11 Июня 2021 , url

За городок +1

vvsupervv66
+3
vvsupervv66, 11 Июня 2021 , url

И с такой откровенной липой Байден едет на переговоры с Путиным? И даже будет разговаривать с позиции силы?

По-моему это добавит американской стороне маразма и импотенции.

Смешно.

Я всё более убеждаюсь, что американской стороне эта встреча нужна ради самой встречи.

vvsupervv66
+3
vvsupervv66, 11 Июня 2021 , url

И тогда в этом смысле, Байден сделал огромную колоссальнейшую ошибку, встретившись сначала с лидерами западных стран и лишь потом с Путиным.

Падение Олимпа будет очень жёстким.



Войдите или станьте участником, чтобы комментировать