В России впервые зафиксировали следы атак хакерской группировки АРТ31, которую ряд экспертов связывает с китайскими спецслужбами. Ранее среди ее целей были государственные структуры разных стран и участники президентской кампании в США в 2020 году, пишет РБК. Информацию обнародовали представители компании Positive Technologies, специализирующейся на кибербезопасности.
Количество атакованных организаций, их названия, а также нанесенный урон не раскрываются. В Positive Technologies объяснили это политикой конфиденциальности.
По мнению экспертов, весной 2021 года АРТ31 начала расширять географию кибератак.
В первом полугодии 2021 группировка провела около десяти вредоносных рассылок в Монголии, США, Канаде и Беларуси.
Досье
Индекс APT (от англ. advanced persistent threat) в названии получают хакерские группировки, проводящие сложные целенаправленные атаки.
- Деятельность АРТ31, также известной как Hurricane Panda и Zirconium, впервые была зафиксирована в 2010 году. В основном группировка атакует государственный сектор, собирая конфиденциальную информацию и затем продавая ее в даркнете.
- Компания Microsoft сообщила, что с марта по сентябрь 2020 года было зафиксировано около 1 тыс. атак АРТ31 на пользователей, связанных с выборами президента в США и кандидатами на этот пост.
- Группировку также обвинили в кибератаках на компьютерные системы госведомств Норвегии, Финляндии и Германии. При этом Microsoft указывала, что APT31 работает из Китая, а правительство Великобритании связало деятельность группировки с Министерством госбезопасности КНР.
Как это работает
В Positive Technologies сообщили, что хакеры APT31 рассылают вредоносные письма. В них содержится ссылка на подставной домен, который полностью имитирует домен различных госорганов, — inst.rsnet-devel[.]com. При переходе по ссылке в компьютер попадает вирус, создающий вредоносную библиотеку и устанавливающий на устройство специальное приложение, после чего управление переходит в руки злоумышленника.
Также в ходе некоторых атак вирус был подписан реальной цифровой подписью, и многие средства безопасности воспринимали его как сертифицированную программу. Эксперты Positive Technologies считают, что подпись, скорее всего, была украдена, и это свидетельствует о хорошей подготовке группировки.
По прогнозам экспертов, в ближайшее время АРТ31 начнет использовать при атаках и другие инструменты.
В компании советуют внедрять индикаторы в свои средства защиты, которые помогут вовремя обнаружить подобный вирус.
Контекст
По данным специализирующейся на информационной безопасности американской компании Purplesec, с началом пандемии количество кибератак на юридические лица только в США выросло на 600%. По данным Совета безопасности России, за 2020 год число кибератак в стране выросло в 3,5 раза. Годовой ущерб мировой экономике от киберпреступлений может достичь отметки $6 трлн в 2021 году.
Некоторые группировки угрожают целым международным организациям и банкам.
- Carbanak. Впервые группировка была обнаружена «Лабораторией Касперского» в 2014 году. При помощи фишинговых писем преступникам удалось похитить более $900 млн. Большинство банков, ставших жертвами группировки, расположены в России, Швейцарии, США, Нидерландах, Украине и Японии. Несмотря на то, что в 2018 году Европол объявил об аресте лидера Carbanak в Испании, свою деятельность группировка не прекратила.
- FIN7. Группировка начала проводить атаки в 2012 году, но долго оставалась незамеченной. Эксперты предполагают, что FIN7 стояла за атакой, совершенной в начале 2017 года, на компании, которые предоставляли документы в комиссию по ценным бумагам и биржам США.
- TA456. Более 18 месяцев иранские хакеры выдавали себя за инструктора по аэробике в Facebook и обманом пыталась внедрить малварь на машины сотрудников компаний-подрядчиков, работающих в сфере воздушно-космической обороны США. Группировка использовала для атак учетную запись Gmail, принадлежавшую несуществующей девушки под именем Флорес.