За атаками на госорганы РФ могут стоять китайские хакеры
11 июня 2021 года
ИБ-специалисты из американской компании Sentinel Labs провели анализ ряда кибератак на органы государственной власти РФ и сообщили, что за взломом предположительно стоят китайские хакеры. Ранее эксперты из «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам ФСБ отметили, что атаку организовали «кибернаемники, преследующие интересы иностранного государства».
Изначально многие исследователи предполагали, что за атаками стояли западные спецслужбы, однако эксперты Sentinel Labs указали в отчете на китайскую группировку ThunderCats, связанную с более крупной группой TA428. TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов.
Специалисты провели анализ вредоносного ПО Mail-O, использованного хакерами в ходе атак. По мнению экспертов, Mail-O представляет собой вариант вредоноса под названием PhantomNet (также известное как SManager), используемой TA428. Mail-O выполняет роль загрузчика и замаскирована под легитимную утилиту компании Mail.ru Group Disk-O. Злоумышленники также использовали вредоносную программу Webdav-O, маскирующуюся под утилиту Yandex Disk.
Mail-O экспортирует функцию под названием Entery (предположительно написанное с ошибкой слово «Entry»). Как оказалось, это был не первый случай, когда орфографические ошибки обнаруживались в новом вредоносном ПО. В декабре 2020 года эксперты опубликовали отчет об атаке на систему поставок во Вьетнаме, в которой использовалось вредоносное ПО PhantomNet. Исследователи отметили, что персистентность вредоносного ПО была установлена с помощью запланированной задачи, которая вызывала экспорт вредоносной DLL-библиотеки Entery. Исследователи отмечают, что на этот же экспорт указала NTT Security в своем анализе вредоносного ПО TManger, которое они, в свою очередь, связывают с китайской группировкой TA428.
Для проникновения в компьютерные сети органов власти злоумышленники использовали три фишинг, эксплуатировали уязвимости в web-приложениях и взламывали инфраструктуры подрядчиков. Затем хакеры похищали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Источники[править]
Эта статья содержит материалы из статьи «За атаками на госорганы РФ могут стоять китайские хакеры», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.