11 июня 2021, 11:23

Хакерскую атаку на Россию приписали Китаю

Компания по кибербезопасности Sentinel Labs из США опубликовала технический доклад о прошлогодней атаке на российские федеральные органы власти. Он основан на майском отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ, из которого впервые стало известно и об атаке, и о ее масштабе.

	Главный вывод российского отчета в том, что киберпреступники имели самый продвинутый, пятый уровень и работали в интересах неназванного иностранного государства. Они действовали очень скрытно, хорошо разбирались во внутреннем устройстве атакованных сетей, приложениях защиты и даже тщательно дорабатывали фишинг под специфику органа госвласти. Целью была «полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации».

	Отчет впервые содержал достаточно технических деталей для дополнительного анализа, и последний привел к выводам, противоречащим консенсусу. «В сети немедленно указали на Запад, разведывательный альянс Five Eyes и США как “настоящих‟ злоумышленников. Спешим успокоить: скорее всего, это неправда, хотя бы потому, что мы привыкли ожидать от западных вредоносных инструментов большей утонченности», — говорится в докладе Sentinel Labs.

	Злоумышленники использовали вредоносную программу Mail-O, замаскированную под утилиту Mail.ru Group Disk-O, и приложение Webdav-O, маскирующееся под утилиту Yandex Disk. Первая — это перелицованная программа PhantomNet или SManager, предположительно вьетнамского происхождения, утверждают американские эксперты.

	Mail-O даже содержит аналогичную «исходнику» грамматическую ошибку («Entery» вместо «Enter» или «Entry»). Кроме того, в программе остались следы удешевленной итеративной разработки, а ее код достаточно груб и раздут фрагментами общедоступных программных библиотек.

	Все это позволяет достаточно уверенно связать атаку с крупной азиатской группой хакеров TA428, известной другими атаками на российские ресурсы, а в ней — с китайской группировкой ThunderCats («Грозовые коты»), утверждает Sentinel Labs. Недооценивать этих хакеров не стоит — речь о целенаправленном вторжении с целью сбора разведданных, то есть успешной работе в более «тяжелой» для себя весовой категории, предупреждает компания.

Почему это важно
Между Россией и Китаем с 2015 года заключено соглашение в сфере кибербезопасности — стороны обязуются не атаковать друг друга, отмечает «Коммерсант». Атака такого размаха с поддержкой на госуровне будет означать, что оно не действует даже номинально.

	В «Ростелеком-Соларе» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки», но атрибуцию атаки комментировать изданию отказались.

	Грубость инструментария и очевидные следы, уводящие в Азию, могут быть и маскировкой, особенно учитывая, что о «наступательных кибератаках» на Россию в США говорят со времен Барака Обамы. «Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю», — сказал изданию эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

	Высокая активность китайских хакеров в России — открытый секрет, говорят представители отрасли кибербезопасности. Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков, а в последнее время — на фармацевтические и биотехнологические компании.

	«Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — говорит руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB. Судя по отчету ФСБ и «Ростелекома», именно это происходило в данном случае.

Что мне с этого?
Трудности установления происхождения этой хакерской атаки по «голым логам» и легкость подделки происхождения лишний раз напоминают, что выяснение русского, китайского и любого другого следа — функция прежде всего спецслужб.

кибератака Китай

Нэш Ван Дрейк (Кот Скрипаля)

где то в России

199

35 241

с 8 января 2016

21 Комментарий

FZF
11 июня 2021, 11:37
Что-то мне подсказывает, что «грубые ошибки» в коде, имитация под китайцев. Не стоит думать, что китайские хакеры такие тупые.

+6
- Malik
  11 июня 2021, 12:00
  FZF, зачем такие намёки делать на наших американских братьев? ))))
  0
- Skifan
  11 июня 2021, 14:55
  FZF, есть такие выражения «индуский код» и «китайский код»
  Почитайте
  0
  - FZF
    11 июня 2021, 15:51
    Skifan, Есть, но почему бы не вставить в код пару таких признаков, чтобы строить на этом обвинение? Если с химическим оружием делают подставы и провокации, то с каким-то кодом, это вообще задание для школьника. :)
    +2
- Petr S
  12 июня 2021, 22:12
  FZF, «В сети немедленно указали на Запад, разведывательный альянс Five Eyes и США как “настоящих‟ злоумышленников. Спешим успокоить: скорее всего, это неправда, хотя бы потому, что мы привыкли ожидать от западных вредоносных инструментов большей утонченности», — говорится в докладе Sentinel Labs.
  -----------
  хм… янки совсем всех за дебилов держат. аргументик про «утонченность» — мягко говоря — не о чем. А вот главный признак — ИЩИ КОМУ ВЫГОДНО — указывает как раз на пиндосов и их пешек, и лживый наброс янки и попытка перевести на Китай — только это еще раз ПОДТВЕРЖДАЕТ
  +1
MPlus
11 июня 2021, 11:40
Роман такой вспомнил «Яйцо кукушки или Преследуя шпиона в компьютерном лабиринте», но там всё честнее было

>Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков,
Врут, там и сетей то никаких нет, не то что выхода в интернет.

Ведомственные сайты это виртуальный хостинг у провайдера типа rt-solar как по ссылке. Их ломают хакеры миллион попыток в неделю. Обычно сканеры уязвимости ищут открытые порты для SIP телефонии, ботами Windows server кладут на раз. А такие аналитики потом отчёты публикуют о китайских атаках, продают антивирусы, услуги сетевой защиты клиента. Какая нах информация может быть на сайте www — головная страница, данные с контактами пресс-службы и фото директора.

Ваш домашний роутер тоже ломают, не сомневайтесь. Включили, лампочка данных моргает постоянно — вьетнамцы не вас лично сканируют, весь пул адресов смотрят круглый год. Никому до этого дела нет, это условия агрессивной среды, достаточно обычной гигиены.
0
ruswind
11 июня 2021, 12:20
Если бы это был Запад — путинские давно бы уже развопились с новым витком антизападной истерии.

А против китайских хозяев не покукарекаешь. Российские госкомпании жёстко сидят на китайских кредитах, взяли обязательства покупать китайское железо и оборудование, китайцы за бесценок вывозят ресурсы их Сибири, в конце концов с ними огромная сухопутная граница, за которой огромная по численности армия.

Поэтому китайцы могут делать с РФ все, что угодно, а Вова Путин будет покупать у них юань и плясать под их дудку))))

Эта инфа всплыла из США аккурат перед встречей «выбивателя зубов за Сибирь» с Бидоном. Американцы как бы говорят Вове Путину, что в курсе в какой он заднице и что в случае продолжения эскалации с Западом у РФ один путь — стать окончательным вассалом Китая.

Очевидно, какой путь выбирают ватники, которые думают, что китайцы будут за них работать и принесут Россиюшке процветание с победой над НАТО)))
А какой путь выбирает Вова Путин? Как много вопросов, как мало ответов…
-2
- FZF
  11 июня 2021, 12:29
  ruswind,
  Если бы это был Запад — путинские давно бы уже развопились с новым витком антизападной истерии.
  Информационная истерия, это привилегия запада. У России другая тактика «скромно промолчим, но запомним»
  +1
- Олег Каширин
  11 июня 2021, 14:04
  ruswind, что ты несешь, клоун дешёвый?!
  
  Во-пепвых ресурсы Китаю продаёт не только Россия, а все кто только могут начиная а Австралии заканчивая США, продают все — нефть, газ, металлы, лес и все остальное. Продают потомучто хотят заработать.
  
  И Россия продаёт (а не отдает) тоже по той же причине и по рыночной цене.
  
  Во-вторых какая бы не была граница с Китаем или НАТО и численность их армии, мы сегодня в состоянии их всех вместе помножить на ноль имея достаточный запас стратегического и тактического ядерного оружия, а также современную миллионный армию и десятки миллионов резервистов.
  +1
  - ruswind
    11 июня 2021, 14:12
    Олег Каширин, конечно продают все, но за бесценок и везут чёрный лес китайцы только из РФ))) А сроки окупаемости Силы Сибири и стоимость газа по этой трубе не напомните?
    0
    - Олег Каширин
      11 июня 2021, 14:23
      ruswind, Доля российского экспорта круглого леса достигла исторического минимума — 7,8% от общего объема заготовки.
      
      programlesprom.ru/dolya-rossii-skogo-e-ksporta-kruglogo-lesa-dostigla-istoricheskogo-minimuma-7-8-ot-obsh-ego-obema-zagotovki/#:~:text=%D0%93%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F%20%C2%BB%20%D0%9D%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8%20%C2%BB%20%D0%94%D0%BE%D0%BB%D1%8F,2018%20%D0%B3%D0%BE%D0%B4%D1%83%20%E2%80%94%20%D0%B1%D0%BE%D0%BB%D0%B5%D0%B5%2020%25
      
      Цена газа и строительство Силы Сибири выгодны и Газпрому и России. Иначе этим никто бы не занимался.
      
      На тот момент когда в ЕС газ стоил по 85 долларов за 1000 кубов, Китай покупал по 200.
      
      kommersant-ru.turbopages.org/turbo/kommersant.ru/s/doc/4320766
      +1
      - ruswind
        11 июня 2021, 14:33
        Олег Каширин, не не, давайте оперировать фактами. Какой срок окупаемости Силы Сибири? По какой цене продаётся газ? По какой цене китайцы покупают его у других стран?
        
        А данные по лесу на российской и китайской таможнях не бьются. Ещё есть лес, который везут нелегально. Какой идиот будет наращивать официальный экспорт, если можно везти в черную?))) Ей Богу, патриоты такие наивные
        0
        Олег Каширин
        11 июня 2021, 14:51
        ruswind, не тупи так жёстко, понимаю крыть не чем и хочется отнекиваться хоть каким-то бредом )))
        
        Цена на газ для Китая привязана к стоимости нефти и просчитать её стоимость в будущем невозможно. Поэтому и точно тебе никто не скажет когда окупится Сила Сибири.
        
        Но то, что цены на газ для Китая ни чуть не ниже чем в ЕС факт. Китай это развитая страна с 1,5 млрд.населения и спрос на газ там будет огромным всегда и деньги в Китае считать умеют. Поэтому сомневаться в окупаемости трубопровода нет оснований как и орать, что газ Китаю поставляют за гроши.
        
        Что там не бьётся на китайской таможне я не знаю и даже не представляю кто и как это сверял, но как работает сама таможня представляю, перевести по ж/д через границу кругляк это тебе не блок сигарет спрятать.
        
        Со следующего года экспорт кругляка запрещают совсем.
        0
NikolasM
11 июня 2021, 12:27
Автор, зачем ты это принес? Я простой русский Олег из Москвы. Я надеюсь, что господин Xí Цзиньпин будет использовать твердый нефритовый стержень, чтобы направлять русского медведя. У похитителя пней ботекса короткие ноги и нет волос. Сильный дракон Xí, сильный нефрит, густые волосы.
0
alfa beta
11 июня 2021, 12:38
Скоро встреча Б. с П.Главная тема Китай, Так что ясно почему сейчас...
А было, не было и что было если было это другая история.…
0
Eridanoy
11 июня 2021, 12:41
Несмотря на вопли кремлёвских пропагандонов всё таки РФ не главная цель администрации Байдена, главная Китай. Это уже вторая информационная атака, первая — обвинение Китая в создании вируса Sars-Cov-2. Противостояние Китая и США усиливается и вполне возможно что на встрече Байдена и Путина будет эта проблема обсуждаться, штатам нужно чтобы мы в эти разборки как минимум не лезли. Возможно разрешение достроить Сев. поток 2 это такой аванс за лояльность или нейтральность позиции Кремля.
+2
- Александр Соловцов
  11 июня 2021, 12:46
  Eridanoy, Сейчас у ковид-фашистов задача постепенно равязать войну против Китая. Натравить против Китая всех. Модная болезнь как-будто бы оттуда, хакерские атаки как-будто бы оттуда. Жаль, что не все это видят.
  +2
  - Eridanoy
    11 июня 2021, 12:50
    Александр Соловцов, скорее их либерал-фашистами нужно называть, ковид лишь одна из их авантюр, такая же как и парниковые газы с углеродным налогом. Там как считает Николай Вавилов речь не обо всём Китае, а лично о Си и тех кто за ним стоит, они либералов не устраиваеют.
    +1
    - Александр Соловцов
      11 июня 2021, 13:20
      Eridanoy, Полностью согласен. Углеродный налог, причём, России очень сильно повредит, так что нужно поскорее изобличать этих «напёрсточников», которые уже весь мир поставили раком.
      +1
      - Eridanoy
        11 июня 2021, 14:19
        Александр Соловцов, поздно изобличать, Путин уже на всё согласился о чём и заявил на послании совету федерации.
        0
Ян Карлович
11 июня 2021, 13:42
Пошумели и хватит. Быстро принять таблетки и на укол, а то на обед опоздаете)
0