В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Главной целью атакующих в России были федеральные органы исполнительной власти (ФОИВы).
TA428 — китайская проправительственная группировка, которая действует с 2013 года. Злоумышленники нацелены на ряд правительственных агентств в Восточной Азии, контролирующих государственные информационные технологии, внутреннюю и международную политику, экономическое развитие.
TaskMasters (aka BlueTraveller) — группа, спонсируемая китайским государством. Как утверждается, хакеры активны как минимум с 2010 года. Группа атаковала компании в ряде стран, однако значительное количество их целей находилось в России и странах СНГ. Среди атакуемых организаций — крупные промышленные и энергетические предприятия, государственные структуры, транспортные компании.
Китайские прогосударственные группы — одно из самых многочисленных и агрессивных хакерских сообществ. Несколько десятков групп проводят атаки по всему миру, в том числе и в России. В первую очередь хакеров интересуют государственные ведомства, промышленные объекты, военные подрядчики, научно-исследовательские институты. Главная цель атакующих — шпионаж, они получают доступ к конфиденциальным данным организаций и стараются как можно дольше скрыть свое присутствие. Известны случаи, когда злоумышленники находились незамеченными в сети жертвы по несколько лет.
Оттолкнувшись от отчета SOLAR JSOC и НКЦКИ, исследователи пришли к любопытным выводам о том, какие из китайских групп могли стоять за атаками на российские ФОИВы в 2020 году, какие инструменты они использовали и как эволюционировало это вредоносное ПО.
Ключевые выводы:
Это исследование посвящено вредоносному ПО Webdav-O, которое было замечено в атаке против российских ФОИВов в 2020 году.
Специалисты Group-IB обнаружили две версии трояна Webdav-O: для систем x86 и x64.
В ходе сравнения фрагментов кода удалось доказать, что троян Webdav-O x64 был использован в атаках на ФОИВы в 2020 году, но на самом деле существует как минимум с 2018 года.
Специалисты обнаружили, что Webdav-O имеет схожие команды с известным трояном с BlueTraveller (aka RemShell) китайского происхождения и связан с группировкой TaskMasters.
Ранее эксперты Sentinel Labs опубликовали исследование о вредоносном ПО Mail-O, которое также было замечено в атаках на ФОИВы. Mail-O связали с группировкой TA428 из Китая.
Как известно, группа TA428 использует в атаках троян Albaniiutas. анализ показал, что Albaniiutas — это новая версия трояна BlueTraveller.
Таким образом мы выдвигаем предположение, что либо обе китайские группы — TA428 и TaskMasters — атаковали российские ФОИВы в 2020 году, либо существует одна большая хакерская группа родом из Китая, которая объединяет несколько групп.