Positive Technologies и «Лаборатория Касперского» обнаружили кибергруппировку с предположительно китайскими корнями, которая за несколько лет атаковала с целью кражи информации более 20 российских компаний и госструктур. Для взлома злоумышленники использовали планировщик задач операционной системы. Подобные группы, как правило, занимаются политической разведкой или промышленным шпионажем, отмечают эксперты.
Рисунок: Виктор Чумачев, Коммерсантъ
Positive Technologies обнаружила кибергруппировку с предположительно азиатскими корнями, которая атаковала ряд предприятий, в том числе из России, с целью кражи информации, сообщили “Ъ” в компании. Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия пострадавших организаций в Positive Technologies не раскрывают. В коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.
Во всех случаях участники группы использовали схожие сценарии и инструменты, уточняют в Positive Technologies. Группу назвали TaskMasters, поскольку она создавала специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. Как злоумышленники использовали полученную информацию, неизвестно.
В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке. В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, указывают в компании.
Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов. Они годами могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы, отмечает руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Использование планировщика задач — популярный метод, характерный, например, для группировок Cobalt и MoneyTaker, атакующих банковский сектор, указывает он: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей». Необычность ситуации с TaskMasters, добавляет эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев, в использовании конкретной утилиты, которая хотя и является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.