Госорганы были атакованы либо двумя хакерскими группировками, либо одной, объединяющей в себе несколько подразделений.
Серию кибератак на российские органы власти в 2020 году могли осуществить сразу несколько финансируемых правительством Китая хакерских группировок.
В новом отчете ИБ-компании Group-IB приводится подробный анализ использовавшегося в атаках вредоносного ПО Webdav-O. Согласно отчету, вредонос имеет много общего с популярным трояном BlueTraveller, связываемым с китайской киберпреступной группировкой TaskMasters и использующимся в кибершпионских операциях, целью которых является кража конфиденциальных документов.
По словам авторов отчета, китайские APT являются одними из самых многочисленных и агрессивных киберпреступных группировок в мире. Чаще всего они атакуют правительственные ведомства, промышленные предприятия, военных подрядчиков и исследовательские институты. Главной целью хакеров является шпионаж – злоумышленники получают доступ к конфиденциальным данным и пытаются скрыть свое присутствие в сетях жертвы как можно дольше.
Отчет Group-IB базируется на нескольких инцидентах, публично раскрытых в мае нынешнего года компаниями Solar JSOC и SentinelOne . Обе компании рассказали о вредоносном ПО Mail-O, использовавшемся в атаках на руководителей российских госорганов с целью получения доступа к их учетным записям в сервисах Mail.ru. SentinelOne связала данный вредонос с другим известным вредоносным ПО PhantomNet/SManager из арсенала группировки TA428.
В новом отчете описывается образец Webdav-O, загруженный на VirusTotal в ноябре 2019 года и имеющий много общего с образцом, описанным Solar JSOC. Однако представленная в отчете версия вредоноса является более новой, частично импровизированной, с новыми функциями. Этот вредонос таже имеет схожие черты с трояном BlueTraveller. В частности, много общего обнаружено в исходном коде и механизмах обработки команд обоих вредоносов.
Как показал подробный анализ наборов инструментов TA428, BlueTraveller имеет много общего с вредоносным ПО Albaniiutas, причисленным к арсеналу группировки в декабре 2020 года. Другими словами, и Albaniiutas, и Webdav-O представляют собой обновленные версии BlueTraveller.
«Примечательно, что китайские хакерские группы активно обмениваются инструментами и инфраструктурой, и, возможно, в данном случае все так и есть. Это означает, что один троян может быть настроен и модифицирован хакерами из разных группировок с разным уровнем подготовки и преследующими различные цели», - пояснили исследователи.
По словам специалистов, российские госорганы были атакованы в 2020 году либо двумя группировками, TA428 и TaskMasters, либо одной группой, объединяющей в себе несколько подразделений.
Спойлер: мы раскрываем их любимые трюки