Эксперты Sentinel Labs заявили о причастности Китая к кибератакам на Россию

Отчет подготовлен на основе исследования, проведенного компанией «Ростелеком-Солар» (дочерняя компания «Ростелекома», которая отвечает за кибербезопасность), совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, создан ФСБ). В документе говорится, что в 2020 году сетевые преступники несколько раз атаковали федеральные органы исполнительной власти (ФОИВ), используя для этого фишинг и уязвимость веб-приложений, опубликованных в интернете. Также они производили взлом инфраструктуры подрядных организаций.

По данным «Ростелеком-Солар» и НКЦКИ, злоумышленники разработали вредоносное программное обеспечение, которое получило название Mail-O. Оно предназначено для выгрузки собираемых данных и использует облачные хранилища «Яндекса» и Mail.ru Group. Хакеры маскировали сетевую активность под легитимные утилиты Yandex Disk и Disk-O. Эксперты в сфере кибербезопасности отметили, что они действовали в интересах другой страны, но не уточнили, какой именно. Серию атак специалисты назвали «беспрецедентной как с точки зрения отдельных ее аспектов, так и по сочетанию факторов».

Аналитики компании Sentinel Labs изучили принцип работы Mail-O, который был описан российскими экспертами, и пришли к выводу, что за атаками стоит группировка ThunderCats, которую связывают с Китаем. Они предположили, что Mail-O является вариантом более известного зловреда PhantomNet или SManager. Ее использовали хакеры из ThunderCats во время кибератак на ресурсы в Юго-Восточной Азии.

В «Ростелеком-Солар» в ответ на просьбу журналистов прокомментировать выводы Sentinel Labs заявили, что не могут «разглашать никаких деталей проведенной атрибуции». Из-за этих же причин специалисты отказались прокомментировать выводы, сделанные экспертами Sentinel.

Руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB Анастасия Тихонова отметила, что российские организации постоянно атакуются проправительственными группами из других стран, в числе которых есть КНР. В отчете компании Hi-Tech Crime Trends 2020-2021 говорится, что в этой стране сосредоточено наибольшее количество активных прогосударственных групп — 23.

Ранее стало известно, что за первые четыре месяца текущего года с вирусами-вымогателями столкнулось на 102% больше компаний, чем в первом полугодии прошлого года. Речь идет о программах, которые, попадая на компьютер, шифруют данные и требуют выкуп за ключ для дешифровки.