Автор: Последнее исследование, опубликованное компанией Group-IB со штаб-квартирой в Сингапуре, касается компьютерного вируса под названием “Webdav-O “. Который был обнаружен во время вторжений, при этом фирма по кибербезопасности обнаружила сходство между этим инструментом и популярным трояном под названием “BlueTraveller”, который связан с китайской группой TaskMasters и задействован в злонамеренных действиях с целью шпионажа и хищения конфиденциальных документов.
“Хакеры в основном нацелены на государственные учреждения, промышленные объекты, военных подрядчиков и исследовательские институты. Основная цель – шпионаж: злоумышленники получают доступ к конфиденциальным данным и пытаются как можно дольше скрыть свое присутствие” – говорят исследователи Анастасия Тихонова и Дмитрий Купин
Отчет основан на ряде публичных сообщений, раскрытых в мае компаниями Solar JSOC и SentinelOne. В обоих случаях было обнаружено вредоносное программное обеспечение под названием Mail-O, которое также наблюдалось в ходе атак на российские федеральные органы исполнительной власти с целью доступа к облачному сервису Mail.ru. SentinelOne связывает его с другой известной вредоносной программы под названием PhantomNet или SManager используемой злоумышленниками, получившими название TA428.
“Основная цель хакеров заключалась в том, чтобы полностью взломать ИТ-инфраструктуру и украсть конфиденциальную информацию, в том числе документы из закрытых сегментов и электронную переписку ключевых федеральных органов исполнительной власти” – отмечает Solar JSOC. Добавляя, что «киберпреступники обеспечили себе высокий уровень секретности за счет использование легальных утилит и глубокое понимание специфики работы средств защиты информации установленных в государственных органах».
Анализ Group-IB сосредоточен на образце Webdav-O. Который был загружен на VirusTotal в ноябре 2019 года и на совпадениях, подробно описанными Solar JSOC. При этом исследователи обнаружили, что последний является более новой, частично импровизированной версией с дополнительными возможностями. Обнаруженный образец Webdav-O также был связан с трояном BlueTraveller, ссылаясь на сходство исходного кода и способ обработки команд.
“Примечательно, что китайские хакерские группы активно обмениваются инструментами и инфраструктурой” – заявили исследователи. “Это означает, что один троян может быть настроен и изменен хакерами из разных групп, с разным уровнем подготовки и, с разными целями”.
Либо обе китайские хакерские группы (TA428 и TaskMasters) атаковали российские федеральные органы исполнительной власти в 2020 году, либо, существует одна объединенная китайская хакерская группа, состоящая из разных подразделений.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X
