Российские эксперты обнаружили новую хакерскую группировку Positive Technologies заявила об обнаружении новой хакерской группировки Space Pirates Специалисты Positive Technologies выявили новую хакерскую группировку, объектом которой являются госучреждения, а также предприятия авиационно-космической отрасли. Она применяет методы, характерные для киберпреступников из Китая
О том, что экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую хакерскую группировку Space Pirates, говорится в поступившем в РБК исследовании этого центра. Такое название она получила из-за строки «P1Rat» в используемом злоумышленниками коде и нацеленности некоторых атак на авиационно-космическую отрасль.
Это так называемая APT-группа (advanced persistent threat, термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак), которая действует минимум с 2017 года. Ее ключевые интересы— шпионаж и кража конфиденциальной информации в том числе у российских организаций. Среди жертв, которых удалось выявить в ходе исследования угроз,— государственные учреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.
Впервые активность группы была зафиксирована в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора (какое— в исследовании не уточняется) получило фишинговое письмо с ранее не встречавшимся вредоносным программным обеспечением. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании, в том числе две с госучастием, которые были скомпрометированы подобным образом. По оценке экспертов Positive Technologies, две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором— атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свой вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах.
Представители Positive Technologies предполагают, что группировка имеет азиатские корни: на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.
Как рассказал руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов, в своем исследовании они видели много пересечений с инструментарием других группировок, при этом не было основных пересечений— по сетевой инфраструктуре, по тактикам и техникам. «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников»,— указал он. Представитель Positive Techonologies пояснил, что они только сейчас сделали заявление про новую группировку, поскольку лишь недавно завершили расследование.
Группировка Space Pirates возникла недавно и пока не описана в публичных источниках, рассказал РБК руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин, но в этой компании ее называют SpaceP1rates. По его словам, их Центр предотвращения киберугроз фиксировал активность этой группировки, среди ее основных жертв он также назвал госструктуры.
Читайте на РБК Pro Pro
Как изменились условия покупки ВНЖ за границей из-за санкций: обзор Статьи Pro
Почему фрилансеры все-таки не заменят компании ключевых сотрудников Инструкции Pro
«ЯRUS» и TenChat: почему не стоит торопиться осваивать российские соцсети Статьи Pro
Пять финтех-стартапов под грифом «самый» Статьи Pro
Как не ошибиться, создавая собственную торговую марку Статьи Pro
Как участнику госзакупок отстоять свои права в период перемен: 5 советов Инструкции Pro
Как инвестору заработать на борьбе с лишним весом. Дайджест Статьи Pro
Какие возможности открывает применение машинного обучения в компании Инструкции
Старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо согласен, что техника этой группировки похожа на используемую азиатскими злоумышленниками. «В целом, предприятия, связанные с критической инфраструктурой,— одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском. Подобные атаки обычно не массовые, а сложные и таргетированные, направленные на шпионаж. Такой тип атак может быть наиболее опасен, если злоумышленникам удастся получить доступ к интересующим их данным»,— отметил эксперт.
Если анализировать тактику группы, то становится понятно, что большая часть применяемых инструментов используется сразу несколькими хакерскими группами, которые, как правило, относят к китайским, говорит руководитель отдела исследования сложных киберугроз компании Group-IB Анастасия Тихонова. По индустриальной принадлежности атакуемых объектов (госучреждения, оборонная и авиационная отрасль, телекоммуникационный сектор и т.д.) также можно предположить китайское происхождение группы. Тихонова подчеркнула, что с каждым годом становится все сложнее относить ту или иную кампанию к конкретной хакерской группе, так как злоумышленники редко используют уникальные инструменты, а чаще дорабатывают те, что ранее применяли их «коллеги по цеху». В тоже время группы объединяются для отдельных кампаний и «перемешиваются» друг с другом.
Материалы к статье Авторы Теги Подпишись на RuTube РБК Прямые эфиры, видео и записи передач на нашем RuTube канале
