В США заявили о причастности Китая к кибератакам на госструктуры РФ
Фото: 123rf/legion-media
Аналитики американской ИТ-компании Sentinel Labs опубликовали отчет, в котором говорится, что за «беспрецедентной серией кибератак» на органы государственной власти РФ в 2020 году стоит Китай.
Аналитики специализирующейся на компьютерной безопасности американской компании Sentinel Labs обнародовали отчет о серии кибератак на российские государственные ресурсы. Основой для ее исследования стал доклад российской компании «Ростелеком-Солар» («дочка» «Ростелекома», отвечающая за кибербезопасность). В нем говорилось о ряде атак на федеральные органы исполнительной власти (ФОИВ) и инфраструктуру подрядных организаций. Авторы доклада заявили, что за диверсией стоят «кибернаемники, преследующие интересы иностранного государства». Однако в документе не указано, какого именно.
Вместе с тем составители доклада отметили, что злоумышленники использовали фишинг и уязвимость веб-приложений, опубликованных в интернете. По данным компании «Ростелеком-Солар», хакеры разработали вредоносное программное обеспечение под названием Mail-O. Оно использовало облачные хранилища «Яндекса» и Mail.ru Group для выгрузки собираемых данных. При этом злоумышленники маскировали сетевую активность под легитимные утилиты Yandex Disk и Disk-O.
Технические подробности атак, указанные в докладе, позволили Sentinel Labs более детально разобраться в ситуации. Изучив документ, американская компания пришла к выводу, что за атаками стоит китайская группировка ThunderCats, а не западные спецслужбы.
В частности, их выводы основаны на анализе вредоносной программы Mail-O, задействованной при этих атаках. По мнению американских экспертов, Mail-O является вариантом относительно известной вредоносной программы под названием PhantomNet или SManager. Ее использует объединение TA428, в которое, в свою очередь, входит ThunderCats. По данным Sentinel Labs, TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов.
В Sentinel Labs добавили, что низкое качество вредоносного софта, в том числе опечатки и грамматические ошибки, исключает возможность западного происхождения атаки.
«Хотя бы потому, что мы привыкли ожидать более высоких стандартов разработки вредоносных программ на Западе», — отметил аналитик Хуан Андреса Герреро-Сааде на сайте SentinelLabs.
В компании «Ростелеком-Солар» в ответ на просьбу «Коммерсанта» прокомментировать выводы Sentinel Labs ответили отказом. В компании объяснили, что не могут «разглашать никаких деталей проведенной атрибуции».
«По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel», — заявили в компании.
Руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB Анастасия Тихонова сообщила в беседе с изданием, что российские организации регулярно становятся целями проправительственных групп разных стран мира, в том числе и из Китая. При этом, по словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, в последнее время китайские хакеры активно атакуют фармацевтические и биотехнологические компании.
Стоит отметить, что в 2015 году Россия и Китай подписали межправительственное соглашение о сотрудничестве в области международной информационной безопасности. В рамках соглашения стороны обязались не осуществлять кибератаки друг против друга.
Подписывайтесь на нас:
