[Информационная безопасность, Исследования и прогнозы в IT, Софт] Крупную атаку на российские госструктуры связали с Китаем
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Эксперты из американской IT-компании Sentinel Labs выпустили доклад о серии кибератак на органы власти РФ в 2020 году. Они назвали причастными к атаке хакеров из Китая.
Герои мультсериала ThunderCats / Warner Archive CollectionМежду РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга.Sentinel Labs проанализировала вредоносное ПО, задействованное в серии атак, а также методы злоумышленников. Компания утверждает, что за ними стоят не западные спецслужбы, а китайская группировка с кодовым названием ThunderCats («Грозовые кошки»), входящая в более крупную азиатскую группу TA428. Эксперты ссылаются на то, что в атака использовали вредоносную программу Mail-O, которая является вариантом вредоноса PhantomNet или SManager, применяемого TA428. 
Псевдокод функции ServiceMain / labs.sentinelone.comSentinel Labs утверждает, что группировка занимается преимущественно взломом российских и восточноазиатских ресурсов с целью сбора разведданных.
Функция проверки Mail-O PSEXESVC.exeВ докладе Solar JSOC и НКЦКИ говорится, что Mail-O — это программа-загрузчик, маскирующаяся под легитимную утилиту компании Mail.ru Group Disk-O. Другой используемый вредонос Webdav-O маскировался под утилиту Yandex Disk.
Слева: образец TManger (NTT Security)
71fe3edbee0c27121386f9c01b723e1cfb416b7af093296bd967bbabdc706393
Справа: образец Mail-O:
603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7«Главной целью хакеров была полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ»,— говорится в этом документе.Хакеры использовали три основных вектора атак: фишинг, эксплуатацию уязвимостей веб-приложений, опубликованных в интернете, и взлом инфраструктуры подрядных организаций. Затем они собирали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.Solar JSOC и НКЦКИ оценивали атаку как «беспрецедентную» из-за уровня угрозы и уровня самих киберпреступников (самый продвинутый, 5-й уровень), а также цели кибератак, инструментария (часть вредоносов ранее нигде не встречалась), скрытности (за счет использования недетектируемого вредоносного ПО и легитимных утилит), сочетания нескольких векторов атак для создания дублирующих каналов управления, подготовки (индивидуальная проработка фишинга).Между тем в «Ростелеком-Солар» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки» и не могут комментировать выводы экспертов Sentinel.Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо отметил, что индикаторы используемых в атаке вредоносов можно было подделать, но он не думает, что этот прием использовали в данном случае. Анастасия Тихонова, руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB, отмечает, что «российские организации регулярно становятся целями проправительственных групп разных стран мира, в том числе и из Китая». По ее словам, в Китае находится большинство активных прогосударственных кибергрупп — 23.Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что в последнее время китайские хакеры активно атакуют фармацевтические и биотехнологические компании, а также пытаются выведать государственные и военные секреты и данные о работе транспортной инфраструктуры.Ранее китайские хакеры могли атаковать Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России. Злоумышленники отправили гендиректору предприятия изображения подводной лодки с вредоносным кодом. Об инциденте рассказывала американская компания Cyberreason.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Open source, GitHub, Разработка под Linux] Эксперт обнаружил критическую уязвимость в библиотеке Polkit (PolicyKit) для Linux, баг в коде был с 2014 года
- [Исследования и прогнозы в IT, Научно-популярное] Предметно-тематические тренды: назначение и интерпретация
- [Информационная безопасность, IT-инфраструктура, Сетевые технологии, Инженерные системы] 4 часа и ни минутой больше: тактика и стратегия Uptime
- [Информационная безопасность, Разработка игр, Игры и игровые приставки, IT-компании] Хакеры проникли в сеть Electronic Arts и похитили исходные коды FIFA 21 и движка Frostbite
- [Информационная безопасность, Игры и игровые приставки] Хакеры взломали Electronic Arts и выставили на продажу 780 ГБ данных
- [Информационная безопасность, GitHub, Игры и игровые приставки] Blizzard удалила патчи для взлома Diablo II: Resurrected c GitHub
- [Бизнес-модели, Софт] Top 5 Best VOD Streaming Platforms in 2021
- [Информационная безопасность, IT-эмиграция] Алексей Семеняка прокомментировал свое выдворение из России
- [Информационная безопасность, Open source, Виртуализация, Kubernetes] Представляем Red Hat Advanced Cluster Security for Kubernetes
- [Информационная безопасность, Реверс-инжиниринг] Binary Coverage для Reverse Engeneering
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_soft (Софт), #_rossija (россия), #_kiberataki (кибератаки), #_kitaj (китай), #_hakery (хакеры), #_rostelekomsolar (ростелеком-солар), #_fsb (фсб), #_vredonosy (вредоносы), #_fishing (фишинг), #_krazha_dannyh (кража данных), #_razvedka (разведка), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 04:33
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Эксперты из американской IT-компании Sentinel Labs выпустили доклад о серии кибератак на органы власти РФ в 2020 году. Они назвали причастными к атаке хакеров из Китая.  Герои мультсериала ThunderCats / Warner Archive CollectionМежду РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга.Sentinel Labs проанализировала вредоносное ПО, задействованное в серии атак, а также методы злоумышленников. Компания утверждает, что за ними стоят не западные спецслужбы, а китайская группировка с кодовым названием ThunderCats («Грозовые кошки»), входящая в более крупную азиатскую группу TA428. Эксперты ссылаются на то, что в атака использовали вредоносную программу Mail-O, которая является вариантом вредоноса PhantomNet или SManager, применяемого TA428.  Псевдокод функции ServiceMain / labs.sentinelone.comSentinel Labs утверждает, что группировка занимается преимущественно взломом российских и восточноазиатских ресурсов с целью сбора разведданных.  Функция проверки Mail-O PSEXESVC.exeВ докладе Solar JSOC и НКЦКИ говорится, что Mail-O — это программа-загрузчик, маскирующаяся под легитимную утилиту компании Mail.ru Group Disk-O. Другой используемый вредонос Webdav-O маскировался под утилиту Yandex Disk.  Слева: образец TManger (NTT Security) 71fe3edbee0c27121386f9c01b723e1cfb416b7af093296bd967bbabdc706393 Справа: образец Mail-O: 603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7«Главной целью хакеров была полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ»,— говорится в этом документе.Хакеры использовали три основных вектора атак: фишинг, эксплуатацию уязвимостей веб-приложений, опубликованных в интернете, и взлом инфраструктуры подрядных организаций. Затем они собирали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.Solar JSOC и НКЦКИ оценивали атаку как «беспрецедентную» из-за уровня угрозы и уровня самих киберпреступников (самый продвинутый, 5-й уровень), а также цели кибератак, инструментария (часть вредоносов ранее нигде не встречалась), скрытности (за счет использования недетектируемого вредоносного ПО и легитимных утилит), сочетания нескольких векторов атак для создания дублирующих каналов управления, подготовки (индивидуальная проработка фишинга).Между тем в «Ростелеком-Солар» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки» и не могут комментировать выводы экспертов Sentinel.Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо отметил, что индикаторы используемых в атаке вредоносов можно было подделать, но он не думает, что этот прием использовали в данном случае. Анастасия Тихонова, руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB, отмечает, что «российские организации регулярно становятся целями проправительственных групп разных стран мира, в том числе и из Китая». По ее словам, в Китае находится большинство активных прогосударственных кибергрупп — 23.Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что в последнее время китайские хакеры активно атакуют фармацевтические и биотехнологические компании, а также пытаются выведать государственные и военные секреты и данные о работе транспортной инфраструктуры.Ранее китайские хакеры могли атаковать Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России. Злоумышленники отправили гендиректору предприятия изображения подводной лодки с вредоносным кодом. Об инциденте рассказывала американская компания Cyberreason. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_issledovanija_i_prognozy_v_it ( Исследования и прогнозы в IT ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 04:33
Часовой пояс: UTC + 5