Хакерская группировка АРТ31 впервые атаковала российские компании

Хакерская группировка АРТ31, известная многочисленными атаками на государственные структуры разных стран, впервые атаковала российские компании.

Об этом РБК сообщили представители компании Positive Technologies, специализирующейся на кибербезопасности. В первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.

Количество атакованных компаний и их названия, а также нанесенный урон представитель Positive Technologies не раскрыл, объяснив это политикой конфиденциальности. РБК направил запрос в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который занимается обнаружением, предупреждением и ликвидацией последствий компьютерных атак и реагированием на них.

Что известно об APT31

Индекс APT в названии получают хакерские группировки, проводящие сложные целенаправленные атаки (advanced persistent threat, APT-атаки).

Активность АРТ31, также известной как Hurricane Panda и Zirconium, фиксируется с 2010-х годов. Ее представители атакуют в основном государственный сектор, шпионя за потенциальными жертвами и собирая конфиденциальную информацию. Осенью прошлого года Microsoft сообщила, что с марта по сентябрь 2020 года было зафиксировано около 1 тыс. атак этой группировки на пользователей, связанных с выборами президента в США и кандидатами на этот пост. Кроме того, она атаковала различных деятелей, связанных с международными отношениями: ученых более чем из 15 университетов, аккаунты различных международных и политических организаций.

В июне этого года власти Норвегии сообщили о централизованном взломе компьютеров государственных административных учреждений этой страны, произведенном АРТ31 еще в 2018 году. В кибератаках на компьютерные системы госведомств ее также обвиняли правительства Финляндии и Германии. При этом Microsoft указывала, что APT31 ведет деятельность из Китая, а правительство Великобритании в середине июля связало деятельность этой группировки с Министерством госбезопасности Китая.

Как работает новая схема

По мнению экспертов Positive Technologies, с весны 2021 года АРТ31 стала расширять географию атак и применять новый способ взлома и заражения гаджетов. Согласно данным компании, хакеры отправляют фишинговые письма, в которых содержится ссылка на подставной домен — inst.rsnet-devel[.]com. Он полностью имитирует домен тех или иных госорганов. При открытии ссылки в компьютер пользователя попадает так называемый дроппер (троян удаленного доступа), который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.

Старший специалист отдела исследования угроз информационной безопасности Positive Technologies Даниил Колосков предупреждает, что разработчики вредоносного программного обеспечения стараются максимально приблизить вредоносную библиотеку к оригинальной, названия наборов функций зараженной библиотеки частично совпадают с официальной. Еще одна уловка хакеров заключалась в том, что в ходе некоторых атак дроппер был подписан реальной валидной цифровой подписью, и многие средства безопасности воспринимали его как программу от сертифицированного производителя. Эксперты Positive Technologies считают, что подпись, скорее всего, была украдена, что свидетельствует о хорошей подготовке группировки.

Глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов прогнозирует, что в ближайшее время АРТ31 станет использовать при атаках, в том числе на Россию, и другие инструменты, их можно будет обнаружить по соответствию коду или инфраструктуре сети. Специалисты Positive Technologies уже сообщили о зафиксированной ими атаке хакерской группы в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В ближайшее время в компании не ждут снижения числа кибератак со стороны АРТ31, поэтому советуют коммерческим и иным структурам внедрять индикаторы в свои средства защиты, которые помогут вовремя обнаружить подобный вирус.

Насколько однозначна идентификация киберпреступников

По словам операционного директора центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Антона Юдакова, ключевым интересом группировки APT31 является постоянное присутствие в инфраструктуре жертвы с целью кибершпионажа. "Россия, как и многие другие страны, не является исключением и попадает под прицел данной группировки", — сказал он. В то же время он подчеркнул, что атрибуция злоумышленника вплоть до конкретной группировки "как правило, не так проста и однозначна". "В случае с APT31 достоверно можно говорить скорее о стране/регионе ее происхождения. Что касается инструментария, уязвимостей, векторов проникновения, техник и тактик, характерных для злоумышленников данного региона, мы видим своего рода "переопыление" среди нескольких существующих там группировок. Это может говорить как об обмене определенными данными между ними, так и о наличии конкретной APT-группировки, атрибутируемой по-разному из-за неполных или недостаточных данных в рамках выявленной атаки", — резюмировал Юдаков.

Эксперт по кибербезопасноти "Лаборатории Касперского" Денис Легезо говорит, что его компания не фиксировала атак в стране именно этой группы, так как "Россия сейчас не является для них первоочередной целью". Представитель Group-IB и BI.ZONE отказались от комментариев.

По данным Совета безопасности России, число особо опасных компьютерных атак в стране за 2020 год выросло в 3,5 раза, затронувших объекты критической информационной инфраструктуры — до 120 тыс.; в целом за последние пять лет общее число компьютерных преступлений выросло с 65 тыс. до 510 тыс.

Согласно оценке спецпредставителя президента России по вопросам международного сотрудничества в области информационной безопасности Андрея Крутских, годовой ущерб мировой экономике от киберпреступлений может достичь отметки $6 трлн в 2021 году.