Крупную атаку на российские госструктуры связали с Китаем благодаря ошибке

Что произошло

Американская компания по кибербезопасности Sentinel Labs опубликовала технический доклад о прошлогодней атаке на российские федеральные органы власти. Он основан на майском отчете центра противодействия кибератакам «Ростелеком-Солар» и специализированной службы ФСБ. Из него впервые стало известно и об атаке, и о ее масштабе.

• Основной вывод российского отчета в том, что киберпреступники имели самый продвинутый, пятый уровень и работали в интересах (неназванного) иностранного государства. Они действовали очень скрытно, хорошо разбирались во внутреннем устройстве атакованных сетей, приложениях защиты и даже тщательно дорабатывали фишинг под специфику органа госвласти. Целью была «полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации».

• Отчет впервые содержал достаточно технических деталей для дополнительного анализа, и последний привел к выводам, противоречащим консенсусу. «В сети немедленно указали на Запад, разведывательный альянс Five Eyes и США как “настоящих” злоумышленников. Спешим успокоить: скорее всего, это неправда, хотя бы потому, что мы привыкли ожидать от западных вредоносных инструментов большей утонченности», — говорится в докладе Sentinel Labs.

• Злоумышленники использовали вредоносную программу Mail-O, замаскированную под утилиту Mail.ru Group Disk-O, и приложение Webdav-O, маскирующуюся под утилиту Yandex Disk. Первая — это перелицованная программа PhantomNet или SManager, предположительно вьетнамского происхождения, утверждают американские эксперты.

• Mail-O даже содержит аналогичную «исходнику» грамматическую ошибку («Entery» вместо «Enter» или «Entry»). Кроме того, в программе остались следы удешевленной итеративной разработки, а ее код достаточно груб и раздут фрагментами общедоступных программных библиотек.

• Все это позволяет достаточно уверенно связать атаку с крупной азиатской группой хакеров TA428, известной другими атаками на российские ресурсы, а в ней — с китайской группировкой ThunderCats («Грозовые коты»), утверждает Sentinel Labs. Недооценивать этих хакеров не стоит — речь о целенаправленном вторжении с целью сбора разведданных, то есть успешной работе в более «тяжелой» для себя весовой категории, предупреждает компания.

Почему это важно

Между Россией и Китаем с 2015 года заключено соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга, отмечает «Коммерсант». Атака такого размаха с поддержкой на госуровне будет означать, что оно не действует даже номинально. В «Ростелеком-Соларе» отметили, что «никогда не утверждали, что за атакой стоят западные кибергруппировки», но аттрибуцию атаки комментировать изданию отказались.

Грубость инструментария и очевидные следы, уводящие в Азию, могут быть и маскировкой, особенно учитывая, что о «наступательных кибератаках» на Россию в США говорят со времен Барака Обамы. «Легко ли подделать такие индикаторы? Да. Были ли они подделаны в этом случае? Я так не думаю», — сказал изданию эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

Высокая активность китайских хакеров в России — открытый секрет, говорят представители отрасли кибербезопасности. Большинство атак приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков, а в последнее время — на фармацевтические и биотехнологические компании.

«Главная цель таких групп — шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — говорит руководитель отдела исследования сложных киберугроз департамента Threat Intelligence компании Group-IB. Судя по отчету ФСБ и «Ростелекома», именно это происходило в данном случае.