Китайские хакеры атаковали российские госорганы
Серию кибератак на российские органы власти в 2020 году могли осуществить сразу несколько финансируемых правительством Китая хакерских группировок, сообщает Group-IB.
В новом отчете ИБ-компании Group-IB приводится подробный анализ использовавшегося в атаках вредоносного ПО Webdav-O. Согласно отчету, вредонос имеет много общего с популярным трояном BlueTraveller, связываемым с китайской киберпреступной группировкой TaskMasters и использующимся в кибершпионских операциях, целью которых является кража конфиденциальных документов.
По словам авторов отчета, китайские APT являются одними из самых многочисленных и агрессивных киберпреступных группировок в мире.
Чаще всего они атакуют правительственные ведомства, промышленные предприятия, военных подрядчиков и исследовательские институты.
Главной целью хакеров является шпионаж - злоумышленники получают доступ к конфиденциальным данным и пытаются скрыть свое присутствие в сетях жертвы как можно дольше.
В новом отчете описывается образец Webdav-O, загруженный на VirusTotal в ноябре 2019 года и имеющий много общего с образцом, описанным Solar JSOC. Однако представленная в отчете версия вредоноса является более новой, частично импровизированной, с новыми функциями. Этот вредонос таже имеет схожие черты с трояном BlueTraveller.
В частности, много общего обнаружено в исходном коде и механизмах обработки команд обоих вредоносов.
"Примечательно, что китайские хакерские группы активно обмениваются инструментами и инфраструктурой, и, возможно, в данном случае все так и есть. Это означает, что один троян может быть настроен и модифицирован хакерами из разных группировок с разным уровнем подготовки и преследующими различные цели", - пояснили исследователи.
По словам специалистов, российские госорганы были атакованы в 2020 году либо двумя группировками, TA428 и TaskMasters, либо одной группой, объединяющей в себе несколько подразделений.
