Positive Technologies и «Лаборатория Касперского» обнаружили кибергруппировку
с предположительно китайскими корнями,
которая за несколько лет атаковала с целью кражи информации более 20 российских компаний и госструктур.

Для взлома злоумышленники использовали планировщик задач операционной системы. Подобные группы, как правило, занимаются политической разведкой или промышленным шпионажем, отмечают эксперты.

Positive Technologies обнаружила кибергруппировку с предположительно азиатскими корнями, которая атаковала ряд предприятий, в том числе из России, с целью кражи информации, сообщили “Ъ” в компании. Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия пострадавших организаций в Positive Technologies не раскрывают.

В коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.

Во всех случаях участники группы использовали схожие сценарии и инструменты, уточняют в Positive Technologies. Группу назвали TaskMasters, поскольку она создавала специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени.
После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Как злоумышленники использовали полученную информацию, неизвестно.
Утечки грозят более чем половине изученных популярных облачных баз данных в рунете

В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке. В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, указывают в компании.

Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов. Они годами могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы, отмечает руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Как хакеры подключились к дипломатическим каналам

Использование планировщика задач — популярный метод, характерный, например, для группировок Cobalt и MoneyTaker, атакующих банковский сектор, указывает он: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей». Необычность ситуации с TaskMasters, добавляет эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев, в использовании конкретной утилиты, которая хотя и является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.

Источник.