Координационный центр доменов и Минцифры отмечают резкий рост регистраций в зоне .рф доменов, распространяющих вредоносное ПО, зарегистрированных на паспортные данные граждан Китая. Специалисты по информбезопасности подтверждают активизацию в РФ «прогосударственных кибершпионских» группировок, связанных с КНР, называя их «давними и традиционными» участниками хакерских атак в стране. Эксперты по российско-китайским отношениям считают атаки одним из элементов переговорных позиций, базово не мешающих сотрудничеству стран.
Фото: Ирина Бужор, Коммерсантъ
“Ъ” ознакомился с данными Координационного центра (КЦ) доменов .ru/.рф, согласно которым в июне в зоне .рф резко выросло число доменов, распространяющих вредоносное ПО. В мае 2023 года в зоне .рф заблокировано 226 таких доменов, а в июне — уже 2,6 тыс. (в мае 2022 года — только 9, в июне — 74 домена).
Руководитель проектов КЦ Евгений Панков считает, что происходит «спланированная атака с использованием домена .рф». По его словам, «в прошлые годы» доля вредоносных сайтов в .рф составляла менее 1% от общего количества обращений от компетентных организаций и пользователей, но в январе—июне выросла до 10%. В КЦ подчеркнули, что в мае и июне все домены с вредоносным ПО оказались зарегистрированными на паспортные данные граждан Китая. Созданные на них сайты использовались для распространения универсального трояна Evo-gen, поражающего устройства на Android и Windows, а также вируса-вымогателя Zmutzy.Lscpt и трояна VoidBalaur.
В Минцифры “Ъ” подтвердили, что в конце мая отмечали инциденты, связанные с использованием доменов в зоне .рф.
«Всего было выявлено и заблокировано около 2,2 тыс. таких ресурсов»,— сообщили там. Некоторые из них содержали ссылки на вредоносное ПО, в ряде случаев контент, размещенный на сайте, был на китайском языке, уточнили в министерстве.
Китайские APT-группировки (организуют третированные и целевые атаки) традиционно считаются «одними из самых активных прогосударственных кибершпионских групп», их особенность — «скрытное проникновение в инфраструктуру и шпионаж на протяжении долгого времени, обычно китайские APT нацелены на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и IT-компании», говорит руководитель центра кибербезопасности F.A.C.C.T. (ранее Group IB) Ярослав Каргалев.
В «РТК-Солар» уже «длительное время» наблюдают активность китайских AРT-группировок, подтверждает руководитель группы анализа угроз компании Владислав Лашкин. «Они были и остаются одной из самых постоянных и стабильных угроз как для госсектора, так и для частных компаний на территории РФ»,— отмечает он. Китайские хакеры достаточно квалифицированы, поэтому, наоборот, обычно стараются маскировать домены управляющих серверов под что-то специфичное для РФ или просто незаметное — обычные хостинги, сертификаты, содержащие поля, общие для миллионов адресов, добавляет эксперт.
Специалисты экспертного центра безопасности Positive Technologies отмечают «новую волну атак» хакерской группировки с китайскими корнями — Space Pirates (впервые обнаружена в мае 2022 года), которая увеличила число попыток атаковать российский госсектор, авиационную и ракетно-космическую промышленность, образовательные учреждения, «согласно расследованию PT ESC, за последний год Space Pirates совершила успешные атаки по меньшей мере на 16 организаций в России». Глава отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов говорит, что за последний год группировка разработала новые инструменты, реализующие нестандартные техники.
Собеседник “Ъ”, знакомый с развитием отношений между РФ и Китаем, считает рост кибершпионажа со стороны последнего объяснимым и неизбежным — «китайская сторона инвестирует большие ресурсы в свои кибервозможности, поскольку хочет иметь более сильные позиции на переговорах».
По его мнению, в итоге Москва и Пекин «могут выработать определенные правила игры, чтобы киберинциденты и кража данных не слишком влияли на отношения в целом». Сближение России и Китая это не остановит, уверен источник “Ъ”, РФ под санкциями и возможности ограничены, а КНР нужен партнер для противостояния давлению США.
У России и Китая есть форматы для диалога по кибербезопасности как на двустороннем уровне, так и в рамках ШОС (Шанхайская организация сотрудничества), «возможно, проблемные моменты обсуждаются там», добавляет эксперт Российского совета по международным делам Олег Шакиров. Показательная история произошла в 2021 году: в мае НКЦКИ выпустил совместный доклад с «РТК-Солар» о компьютерных атаках на российские госорганизации, в документе не было указания на страну, но позднее выяснилось, что речь шла о Китае, отмечает он. Российские специалисты направили китайским хакерам предупреждение, поясняет эксперт, «но в публичный скандал инцидент не перевели».