Российские федеральные агентства атаковали китайским вирусом Webdav-O

Последнее исследование, опубликованное компанией Group-IB со штаб-квартирой в Сингапуре, касается компьютерного вируса под названием “Webdav-O “. Который был обнаружен во время вторжений, при этом фирма по кибербезопасности обнаружила сходство между этим инструментом и популярным трояном под названием “BlueTraveller”, который связан с китайской группой TaskMasters и задействован в злонамеренных действиях с целью шпионажа и хищения конфиденциальных документов.

“Хакеры в основном нацелены на государственные учреждения, промышленные объекты, военных подрядчиков и исследовательские институты. Основная цель – шпионаж: злоумышленники получают доступ к конфиденциальным данным и пытаются как можно дольше скрыть свое присутствие” – говорят исследователи Анастасия Тихонова и Дмитрий Купин

Отчет основан на ряде публичных сообщений, раскрытых в мае компаниями Solar JSOC и SentinelOne. В обоих случаях было обнаружено вредоносное программное обеспечение под названием Mail-O, которое также наблюдалось в ходе атак на российские федеральные органы исполнительной власти с целью доступа к облачному сервису Mail.ru. SentinelOne связывает его с другой известной вредоносной программы под названием PhantomNet или SManager используемой злоумышленниками, получившими название TA428.

“Основная цель хакеров заключалась в том, чтобы полностью взломать ИТ-инфраструктуру и украсть конфиденциальную информацию, в том числе документы из закрытых сегментов и электронную переписку ключевых федеральных органов исполнительной власти” – отмечает Solar JSOC. Добавляя, что «киберпреступники обеспечили себе высокий уровень секретности за счет использование легальных утилит и глубокое понимание специфики работы средств защиты информации установленных в государственных органах».

Анализ Group-IB сосредоточен на образце Webdav-O. Который был загружен на VirusTotal в ноябре 2019 года и на совпадениях, подробно описанными Solar JSOC. При этом исследователи обнаружили, что последний является более новой, частично импровизированной версией с дополнительными возможностями. Обнаруженный образец Webdav-O также был связан с трояном BlueTraveller, ссылаясь на сходство исходного кода и способ обработки команд.

“Примечательно, что китайские хакерские группы активно обмениваются инструментами и инфраструктурой” – заявили исследователи. “Это означает, что один троян может быть настроен и изменен хакерами из разных групп, с разным уровнем подготовки и, с разными целями”.

Либо обе китайские хакерские группы (TA428 и TaskMasters) атаковали российские федеральные органы исполнительной власти в 2020 году, либо, существует одна объединенная китайская хакерская группа, состоящая из разных подразделений.

А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X

Один комментарий к “Российские федеральные агентства атаковали китайским вирусом Webdav-O

  1. Китайская народная республика под руководством Китайской коммунистической партии (с китайской спецификой разумеется) . Пролетарии всех стран соединяйтесь ! Высшая мера наказания преступникам ! (но не для своих разумеется).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *