11 июня 2021, 11:23

Хакерскую атаку на Россию приписали Китаю

Компания по кибербезопасности Sentinel Labs из США опубликовала технический доклад о прошлогодней атаке на российские федеральные органы власти. Он основан на майском отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ, из которого впервые стало известно и об атаке, и о ее масштабе.

	Главный вывод российского отчета в том, что киберпреступники имели самый продвинутый, пятый уровень и работали в интересах неназванного иностранного государства. Они действовали очень скрытно, хорошо разбирались во внутреннем устройстве атакованных сетей, приложениях защиты и даже тщательно дорабатывали фишинг под специфику органа госвласти. Целью была «полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации».

	Отчет впервые содержал достаточно технических деталей для дополнительного анализа, и последний привел к выводам, противоречащим консенсусу. «В сети немедленно указали на Запад, разведывательный альянс Five Eyes и США как “настоящих‟ злоумышленников. Спешим успокоить: скорее всего, это неправда, хотя бы потому, что мы привыкли ожидать от западных вредоносных инструментов большей утонченности», — говорится в докладе Sentinel Labs.

	Злоумышленники использовали вредоносную программу Mail-O, замаскированную под утилиту Mail.ru Group Disk-O, и приложение Webdav-O, маскирующееся под утилиту Yandex Disk. Первая — это перелицованная программа PhantomNet или SManager, предположительно вьетнамского происхождения, утверждают американские эксперты.

	Mail-O даже содержит аналогичную «исходнику» грамматическую ошибку («Entery» вместо «Enter» или «Entry»). Кроме того, в программе остались следы удешевленной итеративной разработки, а ее код достаточно груб и раздут фрагментами общедоступных программных библиотек.

	Все это позволяет достаточно уверенно связать атаку с крупной азиатской группой хакеров TA428, известной другими атаками на российские ресурсы, а в ней — с китайской группировкой ThunderCats («Грозовые коты»), утверждает Sentinel Labs. Недооценивать этих хакеров не стоит — речь о целенаправленном вторжении с целью сбора разведданных, то есть успешной работе в более «тяжелой» для себя весовой категории, предупреждает компания.

Почему это важно
Между Россией и Китаем с 2015 года заключено соглашение в сфере кибербезопасности — стороны обязуются не атаковать друг друга, отмечает «Коммерсант». Атака такого размаха с поддержкой на госуровне будет означать, что оно не действует даже номинально.

	В «Ростелеком-Соларе» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки», но атрибуцию атаки комментировать изданию отказались.

	Грубость инструментария и очевидные следы, уводящие в Азию, могут быть и маскировкой, особенно учитывая, что о «наступательных кибератаках» на Россию в США говорят со времен Барака Обамы. «Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю», — сказал изданию эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

	Высокая активность китайских хакеров в России — открытый секрет, говорят представители отрасли кибербезопасности. Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков, а в последнее время — на фармацевтические и биотехнологические компании.

	«Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — говорит руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB. Судя по отчету ФСБ и «Ростелекома», именно это происходило в данном случае.

Что мне с этого?
Трудности установления происхождения этой хакерской атаки по «голым логам» и легкость подделки происхождения лишний раз напоминают, что выяснение русского, китайского и любого другого следа — функция прежде всего спецслужб.

Данная публикация является личным мнением автора. Мнение владельца сайта может не совпадать с мнением автора.

кибератака Китай

Нэш Ван Дрейк (Кот Скрипаля)

где то в России

198

35 241

с 8 января 2016

21 Комментарий

FZF
11 июня 2021, 11:37
Что-то мне подсказывает, что «грубые ошибки» в коде, имитация под китайцев. Не стоит думать, что китайские хакеры такие тупые.

+6
MPlus
11 июня 2021, 11:40
Роман такой вспомнил «Яйцо кукушки или Преследуя шпиона в компьютерном лабиринте», но там всё честнее было

>Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков,
Врут, там и сетей то никаких нет, не то что выхода в интернет.

Ведомственные сайты это виртуальный хостинг у провайдера типа rt-solar как по ссылке. Их ломают хакеры миллион попыток в неделю. Обычно сканеры уязвимости ищут открытые порты для SIP телефонии, ботами Windows server кладут на раз. А такие аналитики потом отчёты публикуют о китайских атаках, продают антивирусы, услуги сетевой защиты клиента. Какая нах информация может быть на сайте www — головная страница, данные с контактами пресс-службы и фото директора.

Ваш домашний роутер тоже ломают, не сомневайтесь. Включили, лампочка данных моргает постоянно — вьетнамцы не вас лично сканируют, весь пул адресов смотрят круглый год. Никому до этого дела нет, это условия агрессивной среды, достаточно обычной гигиены.
0
ruswind
11 июня 2021, 12:20
Если бы это был Запад — путинские давно бы уже развопились с новым витком антизападной истерии.

А против китайских хозяев не покукарекаешь. Российские госкомпании жёстко сидят на китайских кредитах, взяли обязательства покупать китайское железо и оборудование, китайцы за бесценок вывозят ресурсы их Сибири, в конце концов с ними огромная сухопутная граница, за которой огромная по численности армия.

Поэтому китайцы могут делать с РФ все, что угодно, а Вова Путин будет покупать у них юань и плясать под их дудку))))

Эта инфа всплыла из США аккурат перед встречей «выбивателя зубов за Сибирь» с Бидоном. Американцы как бы говорят Вове Путину, что в курсе в какой он заднице и что в случае продолжения эскалации с Западом у РФ один путь — стать окончательным вассалом Китая.

Очевидно, какой путь выбирают ватники, которые думают, что китайцы будут за них работать и принесут Россиюшке процветание с победой над НАТО)))
А какой путь выбирает Вова Путин? Как много вопросов, как мало ответов…
-2
NikolasM
11 июня 2021, 12:27
Автор, зачем ты это принес? Я простой русский Олег из Москвы. Я надеюсь, что господин Xí Цзиньпин будет использовать твердый нефритовый стержень, чтобы направлять русского медведя. У похитителя пней ботекса короткие ноги и нет волос. Сильный дракон Xí, сильный нефрит, густые волосы.
0

Читайте на SMART-LAB:

Показательный день на рынке акций

Вчера рынок акций вырос, причем по поводу. На пресс-конференции 9 мая президент высказался о конечности СВО. Интерпретации могут быть любыми, но рынок дал свою и однозначную. Намекая, что...

Иволга Капитал

06:25

Производственные итоги первого квартала: нейтральная оценка и рекомендации «ПОКУПАТЬ»

Не так давно мы подвели производственные итоги с начала 2026 года. Динамика операционных результатов компании за 1 квартал 2026 года во многом соответствовала ожиданиям рынка . Мы также продолжили...

Норникель

11.05.2026

GBP/USD: рынок склоняет чашу весов в пользу фунта

Британский фунт в прошедший период пытался продолжить рост, но смог лишь незначительно прибавить в цене, колеблясь в широком диапазоне в безуспешных попытках преодолеть серьезный барьер на пути....

Tickmill

11.05.2026

Исповедь по Магниту: пришло время каяться за свои грехи. Самый подробный разбор отчета за 2025 год

Магнит — это как сыр с плесенью. Удовольствие для гурманов 😁 Примитивная оценка акций Магнита делается через мультипликатор EV/EBITDA текущего года. Опубликованный за 2025 год отчет показал,...