Positive Technologies и «Лаборатория Касперского» обнаружили кибергруппировку азиатского происхождения, которая несколько лет взламывала с целью кражи информации более 20 российских компаний и госструктур.
Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в нашей стране, передает «КоммерсантЪ».
По словам экспертов Positive Technologies, группа, получившая кодовое название TaskMasters, создавала специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. После проникновения в локальную сеть злоумышленники исследовали инфраструктуру, эксплуатировали уязвимости, загружали на скомпрометированные узлы вредоносные программы и удаленно использовали их для шпионажа, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков.
В «Лаборатории Касперского» активность группы, прозванной BlueTraveler, отслеживают с 2016 года. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке. Метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками – как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, уточнили в компании.
Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов, рассказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов. «Они годами могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы», – отметил эксперт.