За атаками на госорганы РФ могут стоять китайские хакеры

11 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

ИБ-специалисты из американской компании Sentinel Labs провели анализ ряда кибератак на органы государственной власти РФ и сообщили, что за взломом предположительно стоят китайские хакеры. Ранее эксперты из «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам ФСБ отметили, что атаку организовали «кибернаемники, преследующие интересы иностранного государства».

Изначально многие исследователи предполагали, что за атаками стояли западные спецслужбы, однако эксперты Sentinel Labs указали в отчете на китайскую группировку ThunderCats, связанную с более крупной группой TA428. TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов.

Специалисты провели анализ вредоносного ПО Mail-O, использованного хакерами в ходе атак. По мнению экспертов, Mail-O представляет собой вариант вредоноса под названием PhantomNet (также известное как SManager), используемой TA428. Mail-O выполняет роль загрузчика и замаскирована под легитимную утилиту компании Mail.ru Group Disk-O. Злоумышленники также использовали вредоносную программу Webdav-O, маскирующуюся под утилиту Yandex Disk.

Mail-O экспортирует функцию под названием Entery (предположительно написанное с ошибкой слово «Entry»). Как оказалось, это был не первый случай, когда орфографические ошибки обнаруживались в новом вредоносном ПО. В декабре 2020 года эксперты опубликовали отчет об атаке на систему поставок во Вьетнаме, в которой использовалось вредоносное ПО PhantomNet. Исследователи отметили, что персистентность вредоносного ПО была установлена ​​с помощью запланированной задачи, которая вызывала экспорт вредоносной DLL-библиотеки Entery. Исследователи отмечают, что на этот же экспорт указала NTT Security в своем анализе вредоносного ПО TManger, которое они, в свою очередь, связывают с китайской группировкой TA428.

Для проникновения в компьютерные сети органов власти злоумышленники использовали три фишинг, эксплуатировали уязвимости в web-приложениях и взламывали инфраструктуры подрядчиков. Затем хакеры похищали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:За атаками на госорганы РФ могут стоять китайские хакеры