Беспрецедентный отчёт
Ровно 5 лет назад НКЦКИ https://safe-surf.ru/specialists/news/664591/ первый и до сих пор единственный открытый отчёт о конкретных кибератаках продвинутой хакерской группировки. Серия атак была выявлена в 2020 году. Злоумышленники проникали в системы госорганов различными путями: с помощью фишинга, через уязвимые веб-приложения и даже через подрядчиков (до того как это стало мейнстримом). Закрепившись в инфраструктуре, приступали к сбору информации с компьютеров, файловых серверов, из почтовых ящиков, проще говоря занимались кибершпионажем. Они достаточно хорошо ориентировались в российских решениях, использовали для выгрузки данных облачные хранилища «Яндекс» и Mail. Ru, а также научились применять функционал антивируса «Лаборатории Касперского» для разведки внутри скомпрометированной сети.
По совокупности таких факторов, как федеральный уровень угрозы, техническая продвинутость атакующих, использование ранее неизвестных вредоносов, высокая скрытность авторы отчёта назвали серию кибератак беспрецедентной.
Символично, что исследование, подготовленное вместе с «Соларом», было посвящено активности не американских, британских или украинских хакеров, а китайских товарищей.
В самом отчёте злоумышленники описывались общими словами как «профессиональная кибергруппировка» и «кибернаёмники, преследующие интересы иностранного государства». Николай Мурашов, на тот момент замдиректора НКЦКИ, https://rt-solar.ru/events/news/2189/: «Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы».
О китайском следе первой написала https://www.sentinelone.com/labs/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/: «Сразу после выхода отчёта диванные комментаторы предположили, что с учётом целей эта атака безусловно должна быть делом рук какого-либо западного правительства, Five Eyes или США. Наш анализ опровергает эту гипотезу». Исследователям удалось найти на VirusTotal сэмпл Mail-O — одного из вредоносов, описанного в отчёте НКЦКИ и «Солара», — и связать его с ранее известным вредоносом PhantomNet (SManager), которым пользовалась группировка TA428. Другие отчёты связывали TA428 с Китаем, кроме того, было известно о её прошлых атаках на российские организации.
В августе 2021 Group-IB https://habr.com/ru/companies/F6/articles/572192/, ещё одного вредоноса из отчёта НКЦКИ и «Солара». Исследователи связали его с другой группировкой предположительно китайского происхождения — TaskMasters (BlueTraveller), а также дополнили анализ SentinelOne про Mail-O. Group-IB предположила, «что либо обе китайские группы — TA428 и TaskMasters — атаковали российские ФОИВы в 2020 году, либо существует одна большая хакерская группа родом из Китая, которая объединяет несколько групп».
Представители «Солара» на публичных мероприятиях также отмечали, что они были в курсе источника атак. Но указание на конкретных злоумышленников было удалено из публичного отчёта. В прошлом году «Солар» уже в формате отчёта с высокой степенью уверенности https://rt-solar.ru/solar-4rays/blog/5487/ Webdav-O и Mail-O тем же двум хакерским группировкам TA428 и BlueTraveller. Более того, эти вредоносы использовались не только в серии атак 2020 года, о которой рассказали НКЦКИ и «Солар», но и в более поздних атаках с .
Я помню, что когда «Коммерсантъ» , то я был удивлён, поскольку больше внимания уделял российско-американским отношениям и не был в курсе интересов китайских хакеров. Спустя 5 лет мне это больше не кажется чем-то необычным, отчётов про атаки различных группировок предположительно китайского происхождения на Россию . Очевидно, для них это одна из важных целей. этому не помеха.
Непонятно, почему НКЦКИ решил выпустить тот отчёт. Самая логичная версия, что это был сигнал начальникам хакеров: мы вас видим, прекращайте. Если так, то можно констатировать, что он не был воспринят. Пора отправлять .
