Крадущийся код, затаившийся дракон
Эксперты из США утверждают, что за беспрецедентными хакерскими атаками на Россию стоит Китай
Эксперты из американской IT-компании Sentinel Labs пришли к выводу, что за «беспрецедентной серией кибератак» на органы государственной власти РФ, о которой недавно сообщили «Ростелеком-Солар» и Национальный координационный центр по компьютерным инцидентам ФСБ, стоят хакеры из Китая. Ранее специалисты этих двух российских структур лишь отмечали, что диверсию осуществили «кибернаемники, преследующие интересы иностранного государства». Между РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга.
«Грозовые кошки»
Аналитики специализирующейся на компьютерной безопасности американской компании Sentinel Labs обнародовали отчет о серии кибератак на российские государственные ресурсы. Заняться разбором диверсии им позволил доклад, опубликованный в мае центром противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, создан ФСБ РФ).
В докладе анализировалась серия выявленных в 2020 году целенаправленных атак профессиональной кибергруппировки на федеральные органы исполнительной власти (ФОИВ) РФ. Его составители пришли к выводу, что за диверсией стоят «кибернаемники, преследующие интересы иностранного государства». Но в документе не было сказано, какого именно.
При этом российский отчет содержал большое количество информации о вредоносном программном обеспечении, задействованном в этой серии атак, а также о методах действия злоумышленников. Это и позволило специалистам из Sentinel Labs заняться поиском хакеров.
Они утверждают, что за атакой на российские ФОИВ стоят не западные спецслужбы, как изначально предположили многие эксперты, а китайская группировка с кодовым названием ThunderCats («Грозовые кошки»), входящая в более крупную группу TA428. Свои выводы американцы основывают на анализе вредоносной программы Mail-O, задействованной при этих атаках. По мнению экспертов из Sentinel Labs, Mail-O является вариантом относительно известной вредоносной программы под названием PhantomNet или SManager, используемой TA428. По данным Sentinel Labs, TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов. Американские аналитики отмечают, что речь идет о целенаправленных атаках с целью сбора разведданных, и предупреждают, что за ними стоит «противник, которого не стоит недооценивать».
«Полная компрометация»
В майском докладе Solar JSOC и НКЦКИ пояснялось, что Mail-O — это программа-загрузчик, маскирующаяся под легитимную утилиту компании Mail.ru Group Disk-O. Злоумышленники также использовали вредоносную программу Webdav-O, маскирующуюся под утилиту Yandex Disk.
«Главной целью хакеров была полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ»,— говорится в документе.
Для проникновения в инфраструктуры органов власти злоумышленники использовали три основных вектора атак: фишинг (тщательно проработанный под специфику деятельности того или иного органа госвласти), эксплуатацию уязвимостей веб-приложений, опубликованных в интернете, и взлом инфраструктуры подрядных организаций.
После полной компрометации инфраструктуры целью хакеров был сбор конфиденциальной информации со всех возможных источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
При этом в докладе Solar JSOC и НКЦКИ эта серия атак была названа «беспрецедентной». Такую характеристику аналитики дали этой диверсии из-за сочетания ряда факторов, среди которых уровень угрозы (федеральное значение), уровень киберпреступников (самый продвинутый, 5-й уровень, согласно модели уровней злоумышленников Solar JSOC), цели кибератак (полная компрометация инфраструктуры и кража конфиденциальных государственных данных), используемый инструментарий (часть разработанного вредоносного программного обеспечения ранее нигде не встречалась), уровень скрытности (за счет использования недетектируемого вредоносного программного обеспечения, легитимных утилит и понимания внутренней логики работы применяемых в органах власти средств защиты информации), сочетание сразу нескольких векторов атак для создания дублирующих каналов управления, тщательность подготовки (индивидуальная проработка фишинга с учетом деятельности ФОИВ и отдельных его структур, разработка специализированного вредоноса, исследование деятельности и инфраструктур подрядчиков).
“Ъ” обратился за комментарием по поводу вывода Sentinel Labs о причастности китайцев к организации этих атак в компанию «Ростелеком-Солар». Там отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки». «Мы в целом не можем разглашать никаких деталей проведенной атрибуции. По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel»,— добавили в компании.
«Главная цель — шпионаж»
Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо на вопрос “Ъ”, похожа ли версия Sentinel Labs на правду, ответил, что его компания не занимается публичной атрибуцией атак. В то же время собеседник “Ъ” добавил: «Что касается версии Хуана (Хуан Андрес Герреро-Сааде, аналитик Sentinel Labs.— “Ъ”), то она состоит в том, что, во-первых, неверное написание имени экспортируемой функции (Entery) уже встречалось раньше в известных вредоносах; во-вторых, в том, что на точке входа службы Windows код тоже выглядит знакомо. Дальше называются вредоносы, в которых все это встречалось ранее. Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю». В целом, по словам Дениса Легезо, госсектор — одна из многочисленных сфер интереса китаеязычных злоумышленников, но они не ограничиваются им.
В свою очередь, Анастасия Тихонова, руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB, сказала “Ъ”, что «российские организации регулярно становятся целями проправительственных групп разных стран мира, в том числе и из Китая». «Согласно нашему отчету “Hi-Tech Crime Trends 2020–2021”, наибольшее количество активных прогосударственных групп сосредоточено именно в Китае — 23,— напомнила она.— Большинство атак в России приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков».
По ее словам, чаще всего первоначальный вектор атаки — отправка по электронной почте фишинговых писем с вредоносным вложением. «Чтобы попасть в сеть жертвы, атакующие используют не только проверенные временем эксплойты, но в последнее время тратят силы и средства для обнаружения уязвимостей “нулевого дня” (ранее не выявленных разработчиками софта.— “Ъ”),— поясняет Анастасия Тихонова.— Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми».
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев в беседе с “Ъ” отметил, что в последнее время китайские хакеры активно атакуют фармацевтические и биотехнологические компании.
«Также они постоянно нацелены на добычу государственных и военных секретов, данных о работе транспортной инфраструктуры,— говорит он.— Что касается коммерческих секретов компаний из различных отраслей, то Китай уже не первый год широко использует инсайдерские ресурсы еще успешнее, чем тактику кибератак». По его словам, речь прежде всего идет про внедрение китайских специалистов в американские компании из сферы высоких технологий.
Напомним, что в 2015 году Россия и Китай подписали межправительственное соглашение о сотрудничестве в области международной информационной безопасности. Среди прочего стороны обязались не осуществлять кибератаки друг против друга.
Между тем недавно “Ъ” сообщал, что китайские хакеры якобы атаковали Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России, отправив его гендиректору изображения подводной лодки с вредоносным кодом. Об этом тоже заявила американская компания Cyberreason.
В то же время заместитель главы МИД РФ Олег Сыромолотов в интервью «РИА Новости» сообщил, что большинство кибератак на страну в 2020 году осуществлялось с адресов, зарегистрированных в США, Германии и Нидерландах.