Разделы

Безопасность Интернет ИТ в госсекторе Техника

Крупнейшие российские ИТ-компании атакованы Китаем

На российские ИТ- и ИБ-структуры начали охотиться не только украинские хакеры. Специалисты провели расследование кибератаки которая произошла летом 2022 г. и собрали доказательства, что это могла сделать проправительственная китайская группировка Tonto Team. Эксперты ситуацию с текущей геополитической обстановкой не связыкаю, но отмечают, что интересуют китайцев подрядчики госорганов.

Атака из Поднебесной

20 июня 2022 г. система Group-IB Managed XDR блокировала вредоносные письма, которые пришли двум сотрудникам компании, в получателях также значились несколько десятков ведущих российских ИТ и ИБ-компаний, пишет Forbes со ссылкой на представителей Group-IB.

Хакеры создали фальшивую почту в бесплатном сервисе GMX Mail (Global Message eXchange) и вели переписку от имени сотрудника ИБ-компании, который якобы отправил «протокол встречи» с обсуждением безопасности облачной инфраструктуры. После внутреннего расследования, специалисты Group-IB получили доказательства, что к атаке причастна китайская прогосударственная группа Tonto Team (другие названия — HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut).

Злоумышленники использовали фишинговые электронные письма для доставки документов Microsoft Office. Файлы создали в компоновщике вредоносов Royal Road Weaponizer, его используют китайские прогосударственные группировки, сообщили в Group-IB. Также эксперты обнаружили бэкдор Bisonal.DoubleT — это уникальная разработка Tonto Team, она используется с 2019 года.

Кто в списке

Как сообщил источник Forbes, в списке атакованных были «телеком-операторы, разработчики ПО, вендоры и один известный поисковик». Но на то, что атаки увенчались успехом ничто не указывает.

Китайские хакеры начали устраивать кибератаки на российские ИТ-компании

В «Яндексе» сообщили, что не фиксировали атаки на свои сервисы, пишет издание. В VK, МТС, «Мегафоне», «Вымпелкоме» отказались от комментариев.

Как предположил руководитель МТС SOC Андрей Дугин, вероятнее всего целью хакеров были не сами ИТ- и ИБ-компании, а их заказчики. Последние, объясняет он, защищены в гораздо большей степени, и хакеры пытаются использовать ИТ- и ИБ-подрядчиков как «черный вход».

«Кроме того, у IT- и ИБ-компаний обычно есть важная информация даже о тех организациях, с которыми они в данный момент не работают. — отметил Дугин — Это и информация о найденных у заказчика уязвимостях и данные об инфраструктуре компании, полученные в ходе пилотного проекта. И наконец, если речь идет о разработчике ПО, хакеры могут попытаться взломать систему обновлений, чтобы с очередным релизом или патчем клиент получил вредоносное ПО, а группировка — точку присутствия в инфраструктуре жертвы».

Об агрессорах

Tonto Team известна с 2009 года. Основными целями для нее являются правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании.

Изначально хакеры работали в Южной Корее, Японии, Тайване и США. В 2020 году они вышли на страны Европы. В марте 2021 г. Tonto Team стала одной из группировок, которая эксплуатировала баг нулевого дня в Microsoft Exchange — шифровала данные и требовала за них выкуп. Тогда, пострадали десятки тысяч организаций, в том числе парламент Норвегии и Европейское банковское управление.

Ничего нового

Тренду на взлом организаций с целью получения доступов к инфраструктурам третьих компаний существует уже больше трех лет, рассказал изданию руководитель центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» Игорь Залевский.

«За последние два года специалисты расследовали около пяти крупных инцидентов, в которых китайские хакеры взламывали ИТ-подрядчиков государственных и коммерческих организаций», — сообщил Залевский.

Помимо Tonto Team, за такими атаками стояли групировки APT 15, APT 31 и APT 41. Схема одна: атака через фишинговые письма, в том числе и с использованием вредоносных офисных документов генерируемых в Roayl Road Weaponizer.

Сложные целенаправленные атаки китайцев наблюдались задолго до начала 2022 года, замечает Андрей Дугин. Поэтому однозначно связать с текущими геополитическими событиями новые нападения нельзя, подчеркивает он.

Напомним, по данным Positive Technologies, наиболее активными хакерскими группировками, действующими против российских госорганов и компаний, в 2022 г. стали Anonymous, IT Army of Ukraine, GhostSec, NB65. Кибернападения и угрозы участились с началом конфликта между Россией и Украиной. Например группа NB65 в мае 2022 г. выложила в открытый доступ данные 7 млн карт российских банков.

При этом, в 2022 г., как сообщает «РТК-Солар», почти половина российских компаний была недовольна отечественным софтом по кибербезопасности.

Юлия Божко