2021-04-05 16:28:24
Неожиданно проснулся
DrWeb и сразу с весьма интересным отчетом.
Как говорят птенцы гнезда
Данилова, осенью прошлого года к ним за помощью обратился один из российских НИИ, который заподозрил присутствие вредоноса в своей сети. Результаты расследования, конечно, поразительные. Хотя чему тут удивляться.
Итак, исследователи установили, что сеть НИИ была скомпрометирована с осени 2017 года одной из APT с помощью модификации трояна
Gh0st RAT, а позднее, в 2019 году, хакеры развернули в сети два других вредоноса.
Другая APT атаковала НИИ не позднее апреля 2019 года с помощью бэкдора, который
Дрвебы назвали
Skeye, а ранее он наблюдался американской
FireEye и получил наименование
HAWKBALL. Параллельно исследователи обнаружили, что этот же вредонос был развернут в мае 2019 года в сети другого российского НИИ. Эта APT также использовала авторский бэкдор
DNSep и хорошо известный
PlugX (хинт - он используется китайскими APT).
Ну и чтобы совсем нескучно было - в декабре 2017 года в сеть первого НИИ загнали вредонос
RemShell, ранее выявленный
Позитивами, причем не установлено, кто из двух атакующих APT это сделал.
Проведя атрибуцию исследователи не смогли понять, какая конкретно группа стоит за первой атакой, хотя установили, что она функционирует минимум с 2015 года. По используемой ей модификации
GhostRAT можно предположить, что это китайская группа, поскольку вредонос использовался преимущественно хакерами из
Поднебесной. Правда исследователи из
Proofpoint в 2017 году уверенно приписывали использование
GhostRAT в ходе одной из атак северокорейской
Lazarus, но тут хз.
А вот вторую хакерскую группу
Дрвебы определили как китайскую APT
TA428, которая в 2019 году была обнаружена теми же
Proofpoint. В пользу этого свидетельствуют пересечения в коде, инструментарии и вредоносной инфраструктуре. Аргументация в отчете убедительная.
Таким образом, товарищи из
DrWeb в очередной раз подтвердили, что наши "любi друзi" из
Пекина в процессе налаживания российско-китайской дружбы не забывают и о кибершпионаже.
P.S. Мы хотели в завершении текста написать колкость про
ФСБ, но потому подумали.... и махнули рукой. Они про это даже и не в курсе, наверное. Лучше напишем в Спортлото.
5.9K views13:28