Две отечественные компании, Positive Technologies и «Лаборатория Касперского» объявили об обнаружении кибегруппировки, которая за несколько лет успешно атаковала более 30 российских компаний и государственных структур. Предположительно, группа действует из Китая.
Сейчас стало известно о том, что взломщики успешно взламывали организации, работающие в разных отраслях промышленности, строительства, энергетики, недвижимости. Названия пострадавших организаций специалисты не раскрывают.
О китайском происхождении атак может свидетельствовать упоминание китайских разработчиков в используемых злоумышленниками инструментах. Также во время некоторых атак зафиксированы подключения с китайских IP-адресов, ну а ключи для разных версий использованных киберпреступниками программ обнаружены на китайских форумах.
По словам представителей Positive Technologies, во всех случаях участники группы использовали похожие сценарии и инструменты. Группу назвали TaskMasters, поскольку для взлома сетей компаний она использовала специфические задания в планировщике задач. Эти таски дали возможность выполнить команды ОС и запускать софт в определенное время. После успешного проникновения в локальную сеть злоумышленники изучают инфраструктуру на наличие уязвимостей, а также загружают на скомпрометированные узлы вредоносные программы, удаленно используя их для шпионажа. О том, как киберпреступники использовали полученную информацию, пока неясно.
В «Лаборатории Касперского» заявили, что отслеживают эту же группировку с 2016 года. Но здесь ее назвали BlueTravaler. По мнению экспертов «Лаборатории», мишенями для атак компании стали госструктуры преимущественно из России и СНГ, а представители группы, вероятнее всего, говорят на китайском языке.
Представители «Лаборатории» утверждают, что метод закрепления в инфраструктуре и дальнейшего распространения при помощи планировщика задач давно и часто используется злоумышленниками. Такие атаки, как правило, помогают политической разведке или же организациям, которые заняты промышленным шпионажем.
Азиатские группировки — мастера как в отношении используемых технологий, так и в плане заметания следов. Они годами остаются незамеченными антивирусным ПО, службами информационной безопасности и отдельными специалистами. Это позволяет злоумышленникам перекачивать гигабайты ценной информации, включая файлы, чертежи и другие документы.
Ну а использование планировщика задач — популярный метод, который используют такие группировки, как Cobalt и MoneyTaker. «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей», — сообщил руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев отдельно выделил использование злоумышленниками утилиты, которая является легитимной, но не входит в стандартный состав программного обеспечения.
Сейчас стало известно о том, что взломщики успешно взламывали организации, работающие в разных отраслях промышленности, строительства, энергетики, недвижимости. Названия пострадавших организаций специалисты не раскрывают.
О китайском происхождении атак может свидетельствовать упоминание китайских разработчиков в используемых злоумышленниками инструментах. Также во время некоторых атак зафиксированы подключения с китайских IP-адресов, ну а ключи для разных версий использованных киберпреступниками программ обнаружены на китайских форумах.
По словам представителей Positive Technologies, во всех случаях участники группы использовали похожие сценарии и инструменты. Группу назвали TaskMasters, поскольку для взлома сетей компаний она использовала специфические задания в планировщике задач. Эти таски дали возможность выполнить команды ОС и запускать софт в определенное время. После успешного проникновения в локальную сеть злоумышленники изучают инфраструктуру на наличие уязвимостей, а также загружают на скомпрометированные узлы вредоносные программы, удаленно используя их для шпионажа. О том, как киберпреступники использовали полученную информацию, пока неясно.
В «Лаборатории Касперского» заявили, что отслеживают эту же группировку с 2016 года. Но здесь ее назвали BlueTravaler. По мнению экспертов «Лаборатории», мишенями для атак компании стали госструктуры преимущественно из России и СНГ, а представители группы, вероятнее всего, говорят на китайском языке.
Представители «Лаборатории» утверждают, что метод закрепления в инфраструктуре и дальнейшего распространения при помощи планировщика задач давно и часто используется злоумышленниками. Такие атаки, как правило, помогают политической разведке или же организациям, которые заняты промышленным шпионажем.
Азиатские группировки — мастера как в отношении используемых технологий, так и в плане заметания следов. Они годами остаются незамеченными антивирусным ПО, службами информационной безопасности и отдельными специалистами. Это позволяет злоумышленникам перекачивать гигабайты ценной информации, включая файлы, чертежи и другие документы.
Ну а использование планировщика задач — популярный метод, который используют такие группировки, как Cobalt и MoneyTaker. «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей», — сообщил руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев отдельно выделил использование злоумышленниками утилиты, которая является легитимной, но не входит в стандартный состав программного обеспечения.