«Лаборатория Касперского» заявляет, что оборонку РФ атакуют китайскоязычные хакеры

Российские государственные и оборонные учреждения в начале года несколько раз атаковали китайскоязычные хакеры. Об этом сегодня, 8 августа, сообщает ТАСС со ссылкой на экспертов компании «Лаборатория Касперского».

Как передает агентство, кроме российских предприятий, объектами атак стали страны Восточной Европы и Афганистан. По предположению специалистов, это делалось с целью кибершпионажа.

«Эксперты „Лаборатории Касперского“ в начале 2022 года зафиксировали волну целевых атак на оборонные предприятия и государственные учреждения Афганистана, России и ряда стран Восточной Европы. Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA428», — сообщили в пресс-службе компании.

Сообщается, что в ряде случаев атакующим удалось полностью захватить IT-инфраструктуру предприятий. При этом ими использовались в основном новые модификации известных ранее вредоносных программ, предназначенных для скрытого удаленного управления зараженной системой, а также для развития атаки и обхода средств информационной безопасности.

Как отметили в компании, также использовались фишинговые письма, в которых содержалась внутренняя информация, не доступная в публичных источниках на момент ее использования злоумышленниками. В частности, ФИО сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов, пояснили эксперты.

«К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017−11882. Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление зараженной системой, от пользователя даже не требуется включать выполнение макросов (набор команд и инструкций, которые группируют вместе в виде единой команды для автоматического выполнения задачи в файлах Word)», — пояснили в пресс-службе.

В «Лаборатории Касперского» добавили, что для развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и получали полный контроль над рабочими станциями и серверами организации. Далее хакеры приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развернутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

«Серия атак, которую мы обнаружили, не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем», — приводит агентство слова старшего эксперта Kaspersky ICS CERT Вячеслава Копейцева.

По словам специалиста, целевой фишинг остается одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Он добавил, что предприятиям и государственным организациям необходимо быть начеку и готовиться к отражению сложных целенаправленных угроз.