На днях американская компания Sentinel Labs, специализирующаяся на вопросах кибербезопасности, выпустила интересный доклад о том, как хакерская группа под названием ThunderCats (ее связывают с Китаем) взламывала сайты государственных органов России.
Security researcher says attacks on Russian government have Chinese fingerprints — and typos, too
Malware was too loose to have come from a Western nation, according to Sentinel Labs
An advanced persistent threat that Russia found inside government sys… https://t.co/HkNmFpBq1a
— Israel (@two_minwarning) June 9, 2021
В основу этого доклада легло исследование компании «Ростелеком-Солар», которое в свою очередь было проведено совместно с Национальным координационным центром по компьютерным инцидентам ФСБ.
В чем суть претензии
Специалисты пришли к выводу, что хакеры из Китая разработали уникальное вредоносное программное обеспечение (ВПО) под названием Mail-O — по сути, программа-загрузчик, которая внешне напоминает легитимную утилиту компании Mail.ru Group Disk-O. По мнению экспертов, киберзлодеи действовали в интересах иностранного государства (какого именно, не уточняется, но намек именно на Поднебесную). Эти атаки на Россию в докладе названы «беспрецедентными».
«После проникновения в локальную сеть злоумышленники традиционно выполняли мероприятия, направленные на полную компрометацию инфраструктуры и кражу конфиденциальных государственных данных», — говорится в отчете.
Такого размаха еще не было
Нынешняя кибератака уникальна и оценивается специалистами как угроза федерального масштаба. Те, кто ее предпринял, использовали новейшее ПО. Уровень скрытности преступников был на грани фантастики: как поясняют эксперты, его удалось добиться благодаря недетектируемому ВПО, легитимным утилитам и пониманию внутренней логики работы применяемых в органах власти средств защиты информации.
Кроме того, преступники использовали одновременно несколько типов атак: фишинг, эксплуатацию веб-уязвимостей и атаку через подрядчиков. Ну и, наконец, против России применили инфраструктуру российских же ресурсов (облака «Яндекс» и Mail.ru Group).
Очевидно, чтобы провернуть такое, были задействованы хакеры самого высокого уровня — пятого. Из этого напрашивается вывод, что речь идет об очень больших деньгах, за которыми стоит не частное лицо или группа лиц, а государство.
Кто такие «Громовые коты»
Именно так переводится название группировки киберпреступников ThunderCats, входящей в состав более крупного китайского объединения TA428, которое специализируется на краже информации и шпионаже. Группу выявили в 2019 году, а название ей дали специалисты компании Proofpoint. По их мнению, TA428 могла быть активна еще в 2013 году.
Основные цели хакеров — Россия и страны Восточной Азии (в частности, Монголия). Похищают они информацию из сфер, представляющих стратегическое значение для Китая. Это IT, научные исследования, международные отношения, политические процессы внутри государства и финансы.
Фирменный стиль китайских хакеров — рассылка фишинговых писем с зараженными RTF-документами. Происходит это следующим образом: приходит сообщение от якобы высокопоставленных адресатов, жертва открывает документ, у которого, как правило, официальный вид, после чего происходит скачивание шаблонов RTF, инфицированных при помощи Royal Road — крайне популярного инструментария у китайских киберпреступников. Именно так произошло ранее с гендиректором петербургского конструкторского бюро «Рубин» — оборонного предприятия, занимающегося разработкой атомных подводных лодок для Военно-морского флота России.
Дальше — больше
«Китайская угроза может быть тотальной! И речь даже не о шпионаже, а о выведении из строя серверов, — рассказал ФАН хакер Александр Варской. — Сегодня китайские технологии оптической связи вступили в новый этап развития. При чрезвычайно быстрых скоростях на большие расстояния китайцы могут передавать сверхкрупные объемы данных. Речь идет о 560 терабайтах в секунду! И этого результата они добились в 2018 году, а КНР не стоит на месте. Получается, что китайцы оперируют объемами, многократно превышающими наши. Они быстрее могут что-то рассчитать и передать. А передача — это и есть атака. DDoS-атака примерно так и осуществляется».
Еще мнение
«Российские организации стабильно становятся целями проправительственных групп разных стран мира, в том числе и из Китая, — отмечает руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB Анастасия Тихонова. — Согласно нашему отчету Hi-Tech Crime Trends 2020-2021, наибольшее количество активных прогосударственных групп сосредоточено именно в Китае — 23. Большинство атак в России приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков. Чаще всего, первоначальным вектором атаки является отправка по электронной почте фишинговых писем с вредоносным вложением. Чтобы попасть в сеть жертвы, атакующие используют не только проверенные временем эксплойты, но в последнее время тратят силы и средства для обнаружения 0-day уязвимостей («нулевого дня»).
Главная цель APT — шпионаж.
«Они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — добавляет Тихонова.
Хакеры и китайские власти действуют заодно
«Китай — одна из нескольких стран, которая доминирует в киберпространстве на уровне подконтрольных государству хакерских групп. Они уже много лет успешно выполняют ряд стратегических задач: кибератаки на инфраструктуру, кибершпионаж, промышленный шпионаж и т.д.», — рассказывает эксперт по информационной безопасности Самвел Мартиросян.
Специалист отмечает: Китай — одна из немногих стран, которые смогли киберкомпонент привязать к другим стратегическим составляющим.
«Например именно промышленный кибершпионаж китайских государственных хакеров стал одной из причин технологического подъема страны последних лет. По крайней мере, так считают в США».