«Дочка» «Ростелекома» рассказала о серии кибератак на российские государственные системы в 2020 году. По данным американской Sentinel Labs, за ними стоит группа ThunderCats, которую связывают с Китаем.
К серии целевых хакерских атак на российские государственные системы в 2020 году причастен Китай, говорится в отчете американской компании Sentinel Labs, которая специализируется в области кибербезопасности. Внимание на это обратил «Коммерсантъ».
Отчет был подготовлен на основе исследования компании «Ростелеком-Солар» («дочка» «Ростелекома», отвечающая за кибербезопасность), проведенного совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, создан ФСБ). В нем говорилось, что в прошлом году злоумышленники несколько раз атаковали федеральные органы исполнительной власти (ФОИВ), используя фишинг и уязвимость веб-приложений, опубликованных в интернете, а также взламывая инфраструктуру подрядных организаций.
По данным «Ростелеком-Солар» и НКЦКИ, хакеры разработали вредоносное программное обеспечение под названием Mail-O, которое для выгрузки собираемых данных использовало облачные хранилища «Яндекса» и Mail.ru Group. Злоумышленники маскировали сетевую активность под легитимные утилиты Yandex Disk и Disk-O. Эксперты заявили, что они действовали в интересах иностранного государства, но не уточнили, какого именно. Серию атак они назвали «беспрецедентной как с точки зрения отдельных ее аспектов, так и по сочетанию факторов».
Аналитики Sentinel Labs изучили принцип работы Mail-O, описанный российскими экспертами, и пришли к выводу, что за атаками стоят хакеры ThunderCats (часть более крупной хакерской группы TA428, которую связывают с Китаем). Они предположили, что Mail-O — это вариант более известной вредоносной программы PhantomNet или SManager. Ее использовали злоумышленники из TA428 в ходе кибератак на ресурсы в Юго-Восточной Азии, в том числе Вьетнаме.
В «Ростелеком-Солар» в ответ на просьбу «Коммерсанта» прокомментировать выводы Sentinel Labs заявили, что не могут «разглашать никаких деталей проведенной атрибуции». «По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel», — добавили в компании.
По словам руководителя отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB Анастасии Тихоновой, российские организации регулярно атакуются проправительственными группами из разных стран, «в том числе и из Китая». В отчете компании Hi-Tech Crime Trends 2020–2021 говорится, что именно там сосредоточено наибольшее количество активных прогосударственных групп — 23.
В начале мая «Коммерсантъ» сообщил со ссылкой на данные американской Cyberreason, что китайские хакеры атаковали Центральное конструкторское бюро морской техники (ЦКБ МТ) «Рубин», проектирующее подводные лодки для ВМФ России, отправив его гендиректору изображения подводной лодки с вредоносным кодом. Замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов заявил, что эта информация не подтвердилась.
По словам замглавы МИДа Олега Сыромолотова, большинство зафиксированных в 2020 году кибератак на Россию осуществлялось с адресов, зарегистрированных в США, Германии и Нидерландах.