В кибератаках на Россию замешаны китайские хакеры

Хакеры из КНР использовали уникальное вредоносное ПО для взлома ресурсов российских госучреждений.

На днях американская компания Sentinel Labs, специализирующаяся на вопросах кибербезопасности, выпустила интересный доклад о том, как хакерская группа под названием ThunderCats (ее связывают с Китаем) взламывала сайты государственных органов России. Security researcher says attacks on Russian government have Chinese fingerprints — and typos, too Malware was too loose to have come from a Western nation, according to Sentinel Labs An advanced persistent threat that Russia found inside government sys… https://t.co/HkNmFpBq1a — Israel (@two_minwarning) June 9, 2021

В основу этого доклада легло исследование компании «Ростелеком-Солар», которое в свою очередь было проведено совместно с Национальным координационным центром по компьютерным инцидентам ФСБ.

В чем суть претензии

Специалисты пришли к выводу, что хакеры из Китая разработали уникальное вредоносное программное обеспечение (ВПО) под названием Mail-O — по сути, программа-загрузчик, которая внешне напоминает легитимную утилиту компании Mail.ru Group Disk-O. По мнению экспертов, киберзлодеи действовали в интересах иностранного государства (какого именно, не уточняется, но намек именно на Поднебесную). Эти атаки на Россию в докладе названы «беспрецедентными».

«После проникновения в локальную сеть злоумышленники традиционно выполняли мероприятия, направленные на полную компрометацию инфраструктуры и кражу конфиденциальных государственных данных», — говорится в отчете.

Такого размаха еще не было

Нынешняя кибератака уникальна и оценивается специалистами как угроза федерального масштаба. Те, кто ее предпринял, использовали новейшее ПО. Уровень скрытности преступников был на грани фантастики: как поясняют эксперты, его удалось добиться благодаря недетектируемому ВПО, легитимным утилитам и пониманию внутренней логики работы применяемых в органах власти средств защиты информации.

Кроме того, преступники использовали одновременно несколько типов атак: фишинг, эксплуатацию веб-уязвимостей и атаку через подрядчиков. Ну и, наконец, против России применили инфраструктуру российских же ресурсов (облака «Яндекс» и Mail.ru Group).

Очевидно, чтобы провернуть такое, были задействованы хакеры самого высокого уровня — пятого. Из этого напрашивается вывод, что речь идет об очень больших деньгах, за которыми стоит не частное лицо или группа лиц, а государство.

Кто такие «Громовые коты»

Именно так переводится название группировки киберпреступников ThunderCats, входящей в состав более крупного китайского объединения TA428, которое специализируется на краже информации и шпионаже. Группу выявили в 2019 году, а название ей дали специалисты компании Proofpoint. По их мнению, TA428 могла быть активна еще в 2013 году.

Основные цели хакеров — Россия и страны Восточной Азии (в частности, Монголия). Похищают они информацию из сфер, представляющих стратегическое значение для Китая. Это IT, научные исследования, международные отношения, политические процессы внутри государства и финансы.

Фирменный стиль китайских хакеров — рассылка фишинговых писем с зараженными RTF-документами. Происходит это следующим образом: приходит сообщение от якобы высокопоставленных адресатов, жертва открывает документ, у которого, как правило, официальный вид, после чего происходит скачивание шаблонов RTF, инфицированных при помощи Royal Road — крайне популярного инструментария у китайских киберпреступников. Именно так произошло ранее с гендиректором петербургского конструкторского бюро «Рубин» — оборонного предприятия, занимающегося разработкой атомных подводных лодок для Военно-морского флота России.

Дальше — больше

«Китайская угроза может быть тотальной! И речь даже не о шпионаже, а о выведении из строя серверов, — рассказал ФАН хакер Александр Варской. — Сегодня китайские технологии оптической связи вступили в новый этап развития. При чрезвычайно быстрых скоростях на большие расстояния китайцы могут передавать сверхкрупные объемы данных. Речь идет о 560 терабайтах в секунду! И этого результата они добились в 2018 году, а КНР не стоит на месте. Получается, что китайцы оперируют объемами, многократно превышающими наши. Они быстрее могут что-то рассчитать и передать. А передача — это и есть атака. DDoS-атака примерно так и осуществляется».

Еще мнение

«Российские организации стабильно становятся целями проправительственных групп разных стран мира, в том числе и из Китая, — отмечает руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB Анастасия Тихонова. — Согласно нашему отчету Hi-Tech Crime Trends 2020-2021, наибольшее количество активных прогосударственных групп сосредоточено именно в Китае — 23. Большинство атак в России приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков. Чаще всего, первоначальным вектором атаки является отправка по электронной почте фишинговых писем с вредоносным вложением. Чтобы попасть в сеть жертвы, атакующие используют не только проверенные временем эксплойты, но в последнее время тратят силы и средства для обнаружения 0-day уязвимостей («нулевого дня»).

Главная цель APT — шпионаж.

«Они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — добавляет Тихонова.

Хакеры и китайские власти действуют заодно

«Китай — одна из нескольких стран, которая доминирует в киберпространстве на уровне подконтрольных государству хакерских групп. Они уже много лет успешно выполняют ряд стратегических задач: кибератаки на инфраструктуру, кибершпионаж, промышленный шпионаж и т.д.», — рассказывает  эксперт по информационной безопасности Самвел Мартиросян.

Специалист отмечает: Китай — одна из немногих стран, которые смогли киберкомпонент привязать к другим стратегическим составляющим.

«Например именно промышленный кибершпионаж китайских государственных хакеров стал одной из причин технологического подъема страны последних лет. По крайней мере, так считают в США».