Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Лавров рассказал о пределах терпения России
Рябков не увидел оснований для скорых новых переговоров с США по гарантиям безопасности
Грушко подвел итоги заседания Совета Россия - НАТО
НАТО заявила о готовности обсуждать с Россией вопрос ограничения вооружений
Главная страница » Репортажи » Просмотр
Версия для печати
Китайские хакеры в течение года атаковали российские госорганы. Это прямое нарушение договора между странами
08.08.21 06:51 Демократия и удобные режимы

Эксперты ИБ-компании Group-IB выявили связь между китайскими проправительственными хакерами и множественными кибератаками на российский госсектор в 2020 г. По их мнению, за ними стоят как минимум две группировки или одна большая группа, объединяющая в себе несколько менее крупных. Это является нарушением соглашения между Россией и Китаем о взаимном ненападении в киберпространстве, подписанного в мае 2015 г.

Российские органы власти в 2020 г. подверглись ряду кибератак со стороны китайских АРТ-группировок. Об этом говорится в новом отчете компании Group IB, работающей в сфере информационной безопасности.

Отчет получил название «Искусство кибервойны» (The Art of Cyberwarfare, вероятно, по аналогии с известным древнекитайским трактатом «Искусство войны» (The art of war). Документ подготовлен руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасией Тихоновой и ведущим специалистом по анализу вредоносного кода Threat Intelligence Group-IB Дмитрием Купиным. Авторы утверждают, что АРТ-группировки, атаковавшие российский госсектор, финансируются правительством КНР.

«Китайские прогосударственные группы — одно из самых многочисленных и агрессивных хакерских сообществ. Несколько десятков групп проводят атаки по всему миру, в том числе и в России. В первую очередь хакеров интересуют государственные ведомства, промышленные объекты, военные подрядчики, научно-исследовательские институты», – сказано в документе.

По оценке авторов отчета, хакеры атакуют российские госорганы, преследуя лишь одну цель – длительный шпионаж. Взламывая государственные компьютерные сети, злоумышленники крадут нужные им документы, при этом стараясь как можно дольше скрывать следы своего присутствия.

Маскировка под ПО «Яндекса»

Эксперты Group-IB приводят в качестве примера атаки использованием вредоноса Webdav-O. С их слов, он очень похож на троян BlueTraveller (он же RemShell), за которым может стоять китайская АРТ-группировка TaskMasters.

Согласно отчету американской ИБ-компании Sentinel Labs об атаке на российские федеральные органы власти в 2020 г. (опубликован в мае 2021 г.), приложение Webdav-O хакеры маскируют под утилиту Yandex Disk.

В ходе исследования специалисты Group-IB выяснили, что в распоряжении хакеров есть две версии Webdav-O – х64 и х86. Также им удалось установить, что троян существует с 2018 г., хотя против российских ФОИВов он был впервые использован именно в 2020 г. Отметим, что на американский онлайн-сканер вирусов VirusTotal сигнатуры Webdav-O были загружены в конце осени 2019 г.

Китайские группировки-матрешки

Отчет Sentinel Lab, упоминающийся в исследовании Group-IB, сам по себе базируется на отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ России. Он был опубликован в мае 2021 г.

В документе Sentinel Lab говорится о малвари под названием Mail-O, замаскированном под программу Mail.ru Group Disk-O. Оно тоже использовалось в атаках на российские ФОИВы в 2020 г., но его использует китайская АРТ-группировка ТА428.

Эксперты Group-IB утверждают, что в своих атаках TA428 регулярно использует троян Albaniiutas. Проанализировав его, они установили, что его нельзя считать по-настоящему самостоятельным трояном, написанным с нуля. Это всего лишь модифицированный BlueTraveller, которым пользуются хакеры из TaskMasters.

На основе всего этого Анастасия Тихонова и Дмитрий Купин пришли к выводу, что, вероятно, и TaskMasters, и ТА428 участвовали в кибератаках на российский госсектор в 2020 г. Также они не исключают вариант, что в Китае существует некая гигантская группа хакеров, которая объединяет в себе несколько мелких группировок.

«Не менее весомым звучит предположение, что существует одна большая хакерская группировка, которая состоит из нескольких подразделений разведки Народно-освободительной армии Китая. Например, подразделение 61398 из Шанхая стоит за действиями хорошо известной группировки APT1 (aka Comment Crew), а подразделение 61419 из города Циньдао связано с группировкой Tick. Каждое подразделение атакует в меру своих возможностей, времени или выстроенной очередности. Таким образом, один троян может настраиваться и дорабатываться хакерами разных подразделений с разным уровнем подготовки и целями», – говорится в отчете.

Специалисты Group-IB подчеркнули, что китайские хакерские группировки регулярно обмениваются инструментами и инфраструктурами. Они не исключают, что в случае с атаками на российские ФОИВы они тоже так делали.

Хакеры с многолетним опытом

Обе упомянутые в отчете Group-IB хакерские группировки, появились не год и даже не два назад. Например, ТА428 действует как минимум с 2013 г. По оценке экспертов компании, их осноdyst цели – это правительственные агентства в Восточной Азии, контролирующие государственные информационные технологии, а также внутреннюю и международную политику и экономическое развитие.

Первые упоминания о группе TaskMasters датированы 2010 г., но не исключено, что она появилась еще раньше. За прошедшие 11 лет входящие в ее состав киберпреступники провели атаки на различные компании и предприятия во многих странах мира, однако больше всего их жертв находятся в России и странах СНГ. «Среди атакуемых организаций – крупные промышленные и энергетические предприятия, государственные структуры, транспортные компании», – отмечено в отчете Group-IB.

Китай нарушает договор

Следует отметить, что если за всеми атаками на российские ФОИВы действительно стоят китайские проправительственные хакеры, то это является прямым нарушением договоренности между Россией и КНР. По данным «Коммерсанта», еще в начале мая 2015 г. страны подписали соглашение о сотрудничестве в области международной информационной безопасности. Одно из положений документа гласит, что Россия и Китай не могут проводить кибератаки друг против друга. На момент публикации материала соглашение оставалось в силе и изменений не претерпевало.

 

delta08.08.21 11:50
Самое время вспомнить ребе Стейнзальца -
К любой информации, получаемой из СМИ, мы должны относиться, как к заведомой лжи, если нет специальных оснований считать иначе.
Не думаю, что наша публика купится на такую дешёвку. Но, если тему продолжат педалировать, то начнёт работать Принцип Ашманова-
- Чем настойчивее в Сети распространяется информация, тем вероятнее, что она - ложь.
astill07, RU08.08.21 14:14
В этих "материалах" есть две русские фамилии. И некоторые названия компаний. Неплохо было бы "взять", подержать и поспрашивать о мотивах, связях и персоналиях. И хорошо бы сделать все это вместе с китайцами
Аяврик, RU08.08.21 20:10
2 delta

-- если тему продолжат педалировать, то начнёт работать Принцип Ашманова - Чем настойчивее в Сети распространяется информация, тем вероятнее, что она - ложь.

хм, интересный Тезис - из которого следует, что если это опубликованное выше разоблачительное обвинение китайских спецслужб (де-факто) не начнут нигде педалировать и настойчиво распространять (т.е., как до сего момента и было) - то вероятнее всего дела именно так и обстоят?!

:-/
delta08.08.21 21:20
> Аяврик
2 delta

-- если тему продолжат педалировать, то начнёт работать Принцип Ашманова - Чем настойчивее в Сети распространяется информация, тем вероятнее, что она - ложь.

хм, интересный Тезис - из которого следует, что если это опубликованное выше разоблачительное обвинение китайских спецслужб (де-факто) не начнут нигде педалировать и настойчиво распространять (т.е., как до сего момента и было) - то вероятнее всего дела именно так и обстоят?!

:-/
:-/ Нет, не так. Принцип Ашманова обратной силы не имеет. А напомнил я о нём для того,чтобы упредить раскрутку на ВиМ этой дезы, из которой отчётливо торчат уши пиндосских и израильских, а, отнюдь, не китайских хакеров.
Мороз, UA09.08.21 02:25
Определение понятия "хакер" - это преступник в сфере информационных технологий. В широком смысле - просто вор. Также как и карманник, домушник, избач, форточник и т.д. При чем тут гражданская принадлежность или какие-то там государственные договора?
Наброс на вентилятор.
zav, EU09.08.21 14:40
Delta, применим ли принцип Ашманова к самому принципу Ашманова? Или он от частого употребления лишь бронзовеет, но ложью не становится?
Аяврик, RU09.08.21 17:57
2 Мороз

-- Определение понятия "хакер" - это преступник в сфере информационных технологий. В широком смысле - просто вор


Ну, справедливости ради, в свете специализации хакеров и их профиля в вышеопубликованной заметке, определение этой специальности в толковом словаре напрашивается либо "шпион/диверсант", либо "разведчик" (в зависимости от того про "наших" или "вражеских" кибер-взломщиках будет определение)
;-)
argus98, RU09.08.21 21:18
"Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ."(с) - по их же словам.

Кого интересуют подробности - ихний сайт -> Ссылка

ps Кстати, на ихнем сайте я не смог найти расследования всех этих китайских ужасов.
Scolar, RU13.08.21 17:06
> zav Delta, применим ли принцип Ашманова к самому принципу Ашманова? Или он от частого употребления лишь бронзовеет, но ложью не становится?
И что это даст, кроме подтверждения самого этого принципа?
astill07, RU14.08.21 17:45
Аяврик: "...опубликованное выше разоблачительное обвинение китайских спецслужб (де-факто)".

Типично!: где "разоблачительные" материал(ы) с разбором оснований привязки к "спецслужбам (де факто", где это самое "де факто". Вполне можно сказать,что весь этот текст (от Grop-IB) - это наглая ложь, прикрытая кажущимся авторитетом sec-ITищников. Плюс, привычной уже манерой подачи якобы расследований атак русских (китайских, иранских) "хакеров" на x,y,z. И, отсюда же, наглая ложь Аяврика.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» С Новым Годом!
» Меняющееся лицо российской методики ведения контрпартизанской войны
» О книге проф. К.Куигли ТРАГЕДИЯ И НАДЕЖДА
» На смерть открытого общества
» Последние дни свободы человечества
» С Днем Победы!
» «Темные пятна» биографии Председателя ЦБ РФ
» Последний искренний сталинист

 Новостивсе статьи rss

» Вильнюс нашел в отчете ИКАО грубые нарушения участников инцидента с Ryanair
» Послы ЕС и Франции дали пояснения по механизму углеродного регулирования
» "Цирконы" заменят для России любые базы за рубежом, заявили в Госдуме
» Россия и Белоруссия объявили НАТО о масштабной отработке своего военного потенциала
» Шольц рассказал, чего ждет от России
» Будущие президенты Белоруссии уже практически видны, заявил Лукашенко
» США «сместили фокус»: вместо газопровода EastMed кабели EuroAfrica и EuroAsia
» "Газпром нефть" заправила первый грузовой самолет зеленым авиатопливом

 Репортаживсе статьи rss

» Москва избавила Америку от русских хакеров
» О чем говорили на Гайдаровском форуме
» В Турции начали опасаться казахстанского сценария
» Тимур Иванов рассказал, что возводят 30 тысяч военных строителей
» "Росгеология": Вклад геологии в экономику РФ за 5 лет - 150 трлн рублей
» Не "Северным потоком" единым. Что еще с размахом строит Россия
» Китай опасается вмешательства США в события в Казахстане
» Техас становится новой столицей землетрясений в США

 Комментариивсе статьи rss

» Китай украл у Америки самое ценное
» Le Figaro: «никаких признаков» — украинцы не верят в предупреждения Запада о скором российском вторжении
» «Большая игра» и кризис наследника — интервью эксперта о событиях в Казахстане
» Самый абсурдный способ выбора главы государства в истории человечества?
» США возглавили антиэкологическую гонку
» Польша стремительно теряет свое участие в транзитном проекте «Новый шелковый путь»
» Коммивояжер вновь наносит удар - США хотят сорвать переговоры с Россией, чтобы спровоцировать войну на Украине
» Wokeism: идеология

 Аналитикавсе статьи rss

» Кто и как протестует в Казахстане? Контекст и социальные противоречия
» Скупают всё: китайцы разогнали цены на продовольствие
» МИР ЧЕРЕЗ ТРИДЦАТЬ ЛЕТ ПОСЛЕ СССР
» Вызов и момент истины: AUKUS посягает на интересы Индии и толкает ее к России и Китаю
» Минобороны: НАТО готовится к крупномасштабному вооруженному конфликту с РФ
» России незачем морозить Европу — она справляется сама
» «Стратегический компас» Евросоюза указал на Россию: в ЕС просчитывают варианты противостояния Москве без помощи НАТО
» Рыбаки Гвадара vs CPEC: политический детектив в Пакистане
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2022 Inca Group "War and Peace"