Выберите регион

Смотрим на

Американские аналитики связали кибератаки на российские госорганы с Китаем

В мае аналитики из Ростелекома и НКЦКИ сообщили о состоявшейся в прошлом году беспрецедентной серии кибератак на федеральные органы государственной власти России. Основываясь на данных из их доклада, американские эксперты по кибербезопасности приписали атаки китайским хакерским группировкам.

Эксперты американской компании Sentinel Labs, специализирующейся на кибербезопасности, поделились результатами собственного расследования серии кибератак против российских госорганов. Доклад об этой киберпреступной операции в мае был опубликован структурой "Ростелекома" Solar JSOC и подготовлен совместно с Национальным координационным центром по компьютерным инцидентам, созданным ФСБ.

Речь в докладе российских структур шла о зафикисрованых в 2020-м целенаправленных атаках на федеральные органы исполнительной власти, а организаторы операции назывались наемниками, действовавшими в интересах неназванного иностранного государства.

Как пишет "Коммерсант", содержащаяся в российском докладе подробная информация об инструментарии и методах нападавших позволила американской Sentinel Labs провести свой подробный анализ случившегося. Эксперты компании пришли к выводу, что улики указывают не на западные спецслужбы, а на китайскую группировку ThunderCats ("Громовые кошки"), входящую в более крупное киберпреступное объединение, TA428.

Sentinel Labs утверждает, что TA428 атакует в основном российские и восточноазиатские ресурсы, а использованная в атаках на российские госорганы программа Mail-O является вариантом применяемой TA428 программы, известной как PhantomNet или SManager. Амерканские аналитики уверены, что речь идет о целенаправленных атаках, проведенных с целью сбора разведывательных данных.

Mail-O работает, маскируясь под разработанную Mail.Ru Group утилиту Disk-O, предназначенную для централизованного управления облачными хранилищами от разных поставщиков — от самой Mail.Ru Group до Google и Microsoft. Также в атаках, согласно российскому отчету, применялась замаскированная под клиент "Яндекс.Диска" вредоносная утилита Webdav-O.

Полностью скомпрометировав компьютерную инфраструктуру организации-жертвы, хакеры затем охотились за любой доступной конфиденциальной информацией в электронной почте, на серверах электронного документооборота, в файловых хранилищах и на компьютерах руководителей разного уровня. В Solar атаку назвали "беспрецедентной".

При этом в структуре "Ростелекома" пояснили в ответ на запрос издания, что никогда не приписывали описанную серию атак западным киберпреступным группировкам. В Solar заявили: "Мы в целом не можем разглашать никаких деталей проведенной атрибуции. По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel".

Опрошенные "Коммерсантом" эксперты — Денис Легезо из "Лаборатории Касперского" и Анастасия Тихонова из Group-IB — воздерживаются от однозначных выводов. Однако оба не исключают, что высказанная Sentinel Labs версия о причастности к атакам на федеральные органы исполнительной власти китайских кибергруппировок соответствует действительности.

Читайте также

Видео по теме