Китай ошибочно организовал кибератаку на российские госструктуры?
Контакты: mediavektor.org@yandex.com
 |   |  Обратная связь

Опрос




Календарь
«    Июнь 2021    »
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
282930 


 
 

Китай ошибочно организовал кибератаку на российские госструктуры?

11-06-2021, 16:42 | Технологии
Китай ошибочно организовал кибератаку на российские госструктуры?

Опасное проникновение в российские ресурсы «кибернаемников, преследующих интересы иностранного государства», было делом рук не американских, а китайских хакеров, говорится в новом докладе экспертов по кибербезопасности. Но и замаскировать таким образом реальный источник не составило бы большого труда.

Американская компания по кибербезопасности Sentinel Labs опубликовала технический доклад о прошлогодней атаке на российские федеральные органы власти. Он основан на майском отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ. Из него впервые стало известно и об атаке, и о ее масштабе.

Основной вывод российского отчета в том, что киберпреступники имели самый продвинутый, пятый уровень и работали в интересах (неназванного) иностранного государства. Они действовали очень скрытно, хорошо разбирались во внутреннем устройстве атакованных сетей, приложениях защиты и даже тщательно дорабатывали фишинг под специфику органа госвласти. Целью была «полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации».

Отчет впервые содержал достаточно технических деталей для дополнительного анализа, и последний привел к выводам, противоречащим консенсусу. «В сети немедленно указали на Запад, разведывательный альянс Five Eyes и США как “настоящих” злоумышленников. Спешим успокоить: скорее всего, это неправда, хотя бы потому, что мы привыкли ожидать от западных вредоносных инструментов большей утонченности», — говорится в докладе Sentinel Labs.
Злоумышленники использовали вредоносную программу Mail-O, замаскированную под утилиту Mail.ru Group Disk-O, и приложение Webdav-O, маскирующуюся под утилиту Yandex Disk. Первая — это перелицованная программа PhantomNet или SManager, предположительно вьетнамского происхождения, утверждают американские эксперты.

Mail-O даже содержит аналогичную «исходнику» грамматическую ошибку («Entery» вместо «Enter» или «Entry»). Кроме того, в программе остались следы удешевленной итеративной разработки, а ее код достаточно груб и раздут фрагментами общедоступных программных библиотек.

Все это позволяет достаточно уверенно связать атаку с крупной азиатской группой хакеров TA428, известной другими атаками на российские ресурсы, а в ней — с китайской группировкой ThunderCats («Грозовые коты»), утверждает Sentinel Labs. Недооценивать этих хакеров не стоит — речь о целенаправленном вторжении с целью сбора разведданных, то есть успешной работе в более «тяжелой» для себя весовой категории, предупреждает компания.

Между Россией и Китаем с 2015 года заключено соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга, отмечает «Коммерсант». Атака такого размаха с поддержкой на госуровне будет означать, что оно не действует даже номинально. В «Ростелеком-Соларе» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки», но аттрибуцию атаки комментировать изданию отказались.

Грубость инструментария и очевидные следы, уводящие в Азию, могут быть и маскировкой, особенно учитывая, что о «наступательных кибератаках» на Россию в США говорят со времен Барака Обамы. «Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю», — сказал изданию эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

Высокая активность китайских хакеров в России — открытый секрет, говорят представители отрасли кибербезопасности. Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков, а в последнее время — на фармацевтические и биотехнологические компании.

«Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — говорит руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB. Судя по отчету ФСБ и «Ростелекома», именно это происходило в данном случае.






Другие новости по теме:
Bloomberg: уязвимость программы Microsoft превратилась в глобальную угрозу Bloomberg: уязвимость программы Microsoft превратилась в глобальную угрозу
Хакеры из КНДР атаковали российские военные объекты Хакеры из КНДР атаковали российские военные объекты
США и Великобритания обвинили РФ в кибершпионаже США и Великобритания обвинили РФ в кибершпионаже
 
| |
 
 



Новости




Free counters!

Анализ сайта mediavektor.org