Американские исследователи заявили о причастности китайских хакеров к кибератакам на Россию
Опубликовал: FIELD LINE, 11-06-2021, 19:15, Жизнь / В мире, 189, 0
Специалисты по кибербезопасности из Sentinel Labs обнаружили «китайский след» в атаках на российские государственные системы. Об этом пишет «Коммерсантъ» со ссылкой на отчёт американской компании. Речь идёт о целой серии атак, совершённых в 2020 году. Цели и задачи злоумышленников не раскрываются.
Аналитики провели расследование на базе отчёта центра противодействия кибератакам «Ростелеком-Солар». В докладе сообщалось, что неизвестная профессиональная кибергруппировка провела серию атак на федеральные органы исполнительной власти с использованием фишинга, уязвимостей веб-приложений, а также путём взлома инфраструктуры подрядчиков. Авторы указали, что этим занимались наёмники, «преследующие интересы иностранного государства».
Для атаки злоумышленники использовали вредоносное программное обеспечение под названием Mail-O. Оно использовало для выгрузки данных облачные сервисы «Яндекса» и Mail.ru Group, маскируя свою работу под официальные сервисы.
Эксперты Sentinel Labs изучили алгоритм работы Mail-O и пришли к выводу, что его разработали китайские хакеры из группы ThunderCats (являются частью более крупной группировки TA428, которую связывают с Китаем). Предположительно, обнаруженное ПО является вариацией других программ — PhantomNet или SManager.
Представители «Ростелеком-Солар» отказались комментировать выводы Sentinel Labs. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо пояснил, что отчёт американских исследователей опирается на характерные черты взломщиков. Среди них — неверное написание имени экспортируемой функции Entery и похожий код на точке входа в Windows. Он отметил, что такие индикаторы легко подделать, но не считает, что этот случай из подобных.
Напомним, что в 2015 году Россия и Китай подписали соглашение о сотрудничестве в сфере информационной безопасности. Оно обязывает стороны не совершать атаки друг против друга.
Источник
Аналитики провели расследование на базе отчёта центра противодействия кибератакам «Ростелеком-Солар». В докладе сообщалось, что неизвестная профессиональная кибергруппировка провела серию атак на федеральные органы исполнительной власти с использованием фишинга, уязвимостей веб-приложений, а также путём взлома инфраструктуры подрядчиков. Авторы указали, что этим занимались наёмники, «преследующие интересы иностранного государства».
Для атаки злоумышленники использовали вредоносное программное обеспечение под названием Mail-O. Оно использовало для выгрузки данных облачные сервисы «Яндекса» и Mail.ru Group, маскируя свою работу под официальные сервисы.
Эксперты Sentinel Labs изучили алгоритм работы Mail-O и пришли к выводу, что его разработали китайские хакеры из группы ThunderCats (являются частью более крупной группировки TA428, которую связывают с Китаем). Предположительно, обнаруженное ПО является вариацией других программ — PhantomNet или SManager.
Представители «Ростелеком-Солар» отказались комментировать выводы Sentinel Labs. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо пояснил, что отчёт американских исследователей опирается на характерные черты взломщиков. Среди них — неверное написание имени экспортируемой функции Entery и похожий код на точке входа в Windows. Он отметил, что такие индикаторы легко подделать, но не считает, что этот случай из подобных.
Напомним, что в 2015 году Россия и Китай подписали соглашение о сотрудничестве в сфере информационной безопасности. Оно обязывает стороны не совершать атаки друг против друга.
Источник
