Эксперты ИБ-компании Group-IB выявили связь между китайскими проправительственными хакерами и множественными кибератаками на российский госсектор в 2020 г. По их мнению, за ними стоят как минимум две группировки или одна большая группа, объединяющая в себе несколько менее крупных. Это является нарушением соглашения между Россией и Китаем о взаимном ненападении в киберпространстве, подписанного в мае 2015 г. Российские органы власти в 2020 г. подверглись ряду кибератак со стороны китайских АРТ-группировок. Об этом говорится в новом отчете компании Group IB, работающей в сфере информационной безопасности. Отчет получил название «Искусство кибервойны» (The Art of Cyberwarfare, вероятно, по аналогии с известным древнекитайским трактатом «Искусство войны» (The art of war). Документ подготовлен руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасией Тихоновой и ведущим специалистом по анализу вредоносного кода Threat Intelligence Group-IB Дмитрием Купиным. Авторы утверждают, что АРТ-группировки, атаковавшие российский госсектор, финансируются правительством КНР. «Китайские прогосударственные группы — одно из самых многочисленных и агрессивных хакерских сообществ. Несколько десятков групп проводят атаки по всему миру, в том числе и в России. В первую очередь хакеров интересуют государственные ведомства, промышленные объекты, военные подрядчики, научно-исследовательские институты», – сказано в документе. По оценке авторов отчета, хакеры атакуют российские госорганы, преследуя лишь одну цель – длительный шпионаж. Взламывая государственные компьютерные сети, злоумышленники крадут нужные им документы, при этом стараясь как можно дольше скрывать следы своего присутствия. Маскировка под ПО «Яндекса»Эксперты Group-IB приводят в качестве примера атаки использованием вредоноса Webdav-O. С их слов, он очень похож на троян BlueTraveller (он же RemShell), за которым может стоять китайская АРТ-группировка TaskMasters. Согласно отчету американской ИБ-компании Sentinel Labs об атаке на российские федеральные органы власти в 2020 г. (опубликован в мае 2021 г.), приложение Webdav-O хакеры маскируют под утилиту Yandex Disk. В ходе исследования специалисты Group-IB выяснили, что в распоряжении хакеров есть две версии Webdav-O – х64 и х86. Также им удалось установить, что троян существует с 2018 г., хотя против российских ФОИВов он был впервые использован именно в 2020 г. Отметим, что на американский онлайн-сканер вирусов VirusTotal сигнатуры Webdav-O были загружены в конце осени 2019 г. Китайские группировки-матрешкиОтчет Sentinel Lab, упоминающийся в исследовании Group-IB, сам по себе базируется на отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ России. Он был опубликован в мае 2021 г. В документе Sentinel Lab говорится о малвари под названием Mail-O, замаскированном под программу Mail.ru Group Disk-O. Оно тоже использовалось в атаках на российские ФОИВы в 2020 г., но его использует китайская АРТ-группировка ТА428. Эксперты Group-IB утверждают, что в своих атаках TA428 регулярно использует троян Albaniiutas. Проанализировав его, они установили, что его нельзя считать по-настоящему самостоятельным трояном, написанным с нуля. Это всего лишь модифицированный BlueTraveller, которым пользуются хакеры из TaskMasters. На основе всего этого Анастасия Тихонова и Дмитрий Купин пришли к выводу, что, вероятно, и TaskMasters, и ТА428 участвовали в кибератаках на российский госсектор в 2020 г. Также они не исключают вариант, что в Китае существует некая гигантская группа хакеров, которая объединяет в себе несколько мелких группировок. «Не менее весомым звучит предположение, что существует одна большая хакерская группировка, которая состоит из нескольких подразделений разведки Народно-освободительной армии Китая. Например, подразделение 61398 из Шанхая стоит за действиями хорошо известной группировки APT1 (aka Comment Crew), а подразделение 61419 из города Циньдао связано с группировкой Tick. Каждое подразделение атакует в меру своих возможностей, времени или выстроенной очередности. Таким образом, один троян может настраиваться и дорабатываться хакерами разных подразделений с разным уровнем подготовки и целями», – говорится в отчете. Специалисты Group-IB подчеркнули, что китайские хакерские группировки регулярно обмениваются инструментами и инфраструктурами. Они не исключают, что в случае с атаками на российские ФОИВы они тоже так делали. Хакеры с многолетним опытомОбе упомянутые в отчете Group-IB хакерские группировки, появились не год и даже не два назад. Например, ТА428 действует как минимум с 2013 г. По оценке экспертов компании, их осноdyst цели – это правительственные агентства в Восточной Азии, контролирующие государственные информационные технологии, а также внутреннюю и международную политику и экономическое развитие. Первые упоминания о группе TaskMasters датированы 2010 г., но не исключено, что она появилась еще раньше. За прошедшие 11 лет входящие в ее состав киберпреступники провели атаки на различные компании и предприятия во многих странах мира, однако больше всего их жертв находятся в России и странах СНГ. «Среди атакуемых организаций – крупные промышленные и энергетические предприятия, государственные структуры, транспортные компании», – отмечено в отчете Group-IB. Китай нарушает договорСледует отметить, что если за всеми атаками на российские ФОИВы действительно стоят китайские проправительственные хакеры, то это является прямым нарушением договоренности между Россией и КНР. По данным «Коммерсанта», еще в начале мая 2015 г. страны подписали соглашение о сотрудничестве в области международной информационной безопасности. Одно из положений документа гласит, что Россия и Китай не могут проводить кибератаки друг против друга. На момент публикации материала соглашение оставалось в силе и изменений не претерпевало. | 
