Сейчас стало известно о том, что взломщики успешно взламывали организации, работающие в разных отраслях промышленности, строительства, энергетики, недвижимости. Названия пострадавших организаций специалисты не раскрывают.
О китайском происхождении атак может свидетельствовать упоминание китайских разработчиков в используемых злоумышленниками инструментах. Также во время некоторых атак зафиксированы подключения с китайских IP-адресов, ну а ключи для разных версий использованных киберпреступниками программ обнаружены на китайских форумах.
По словам представителей Positive Technologies, во всех случаях участники группы использовали похожие сценарии и инструменты. Группу назвали TaskMasters, поскольку для взлома сетей компаний она использовала специфические задания в планировщике задач. Эти таски дали возможность выполнить команды ОС и запускать софт в определенное время. После успешного проникновения в локальную сеть злоумышленники изучают инфраструктуру на наличие уязвимостей, а также загружают на скомпрометированные узлы вредоносные программы, удаленно используя их для шпионажа. О том, как киберпреступники использовали полученную информацию, пока неясно.
В «Лаборатории Касперского» заявили, что отслеживают эту же группировку с 2016 года. Но здесь ее назвали BlueTravaler. По мнению экспертов «Лаборатории», мишенями для атак компании стали госструктуры преимущественно из России и СНГ, а представители группы, вероятнее всего, говорят на китайском языке.
Представители «Лаборатории» утверждают, что метод закрепления в инфраструктуре и дальнейшего распространения при помощи планировщика задач давно и часто используется злоумышленниками. Такие атаки, как правило, помогают политической разведке или же организациям, которые заняты промышленным шпионажем.
Азиатские группировки — мастера как в отношении используемых технологий, так и в плане заметания следов. Они годами остаются незамеченными антивирусным ПО, службами информационной безопасности и отдельными специалистами. Это позволяет злоумышленникам перекачивать гигабайты ценной информации, включая файлы, чертежи и другие документы.
Ну а использование планировщика задач — популярный метод, который используют такие группировки, как Cobalt и MoneyTaker. «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей», — сообщил руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев отдельно выделил использование злоумышленниками утилиты, которая является легитимной, но не входит в стандартный состав программного обеспечения.
Комментарии (20)
port443
13.05.2019 22:19О китайском происхождении атак может свидетельствовать упоминание китайских разработчиков в используемых злоумышленниками инструментах. Также во время некоторых атак зафиксированы подключения с китайских IP-адресов, ну а ключи для разных версий использованных киберпреступниками программ обнаружены на китайских форумах.
Это же всё косвенные признаки. Если они и правда серьёзные ребята, им ничего не мешает перевести все такие стрелки на Китай, который и так сейчас везде в этом обвиняют.
Barabek
14.05.2019 00:28+2Ничего не понятно. Какой планировщик задач, в каких ОС? Откуда вывод про 9 лет, что за инструменты...
dimm_ddr
14.05.2019 11:18Ну да. «Мы тут нашли огромнуб проблему, но она такая огромная что рассказать о ней так чтобы не поломать половину экономики мы не можем. Поэтому просто поверьте что все плохо.» И даже логика есть ведь.
mkovalevskyi
14.05.2019 00:59«метод закрепления в инфраструктуре и дальнейшего распространения при помощи планировщика задач давно и часто используется злоумышленниками. Такие атаки, как правило, помогают политической разведке»
Хм. Я вот давно подозревал, что с этими планировщиками что-то не то, слишком их много. Ан вон оно че… Просто под каждое правительство свой пилят…IvaYan
14.05.2019 11:28Судя по всему имеется в виду Task Scheduler, это что-то по типу cron, а не планировщик задач с календарём.
barkalov
14.05.2019 03:29Что происходит с Хабром? Почему так чудовищно упал уровень статей?
Твердое ощущение, что автор не понимает о чем пишет/переводит. А всем норм.
Maccimo
14.05.2019 03:46Он не «автор», он «редактор», стахановец белого шума.
Ему не нужно понимать, ему нужно килобайтонорму выдать.barkalov
14.05.2019 06:01+1Всё же, редакторы и раньше были. Ализар — это давно уже нарицательное имя, понятное дело. Но раньше это выражалось больше в «желтых» заголовках, слабом погружении.
А последние пару месяцев наблюдаю статьи, авторы которых будто бы вообще не в теме. Прям вот студент-троечник с филфака копирайтит сео-перевод.
Причем, это не заметно не только и не столько у «редакторов», сколько у обычных пользователей с характерно свежими аккаунтами. Вот, например.
lolikandr
14.05.2019 03:54Есть же поиск, вот статья с подробностями: habr.com/ru/company/pt/blog/451566
vassabi
14.05.2019 09:01а в пандан этой новости — новость про
Кроме того, «чувствительные данные» об автомобилях будут передаваться через защищенную государственную среду связи, с тем, чтобы повысить доверие пользователей и государства к сбору такой информации.
(с) "«Глонасс»: для безопасности транспорта нужна единая система хранения данных об автомобилях"
Houl777
14.05.2019 09:23+1Удивили… Делали аудит в прокуратуре города. Было весело наблюдать когда защита ведомественной сети была обойдена простым шнурком из свитча в маршрутизатор. Кто и когда такое сделал никому не было известно. На сотню полторы сотрудников было в районе 6 уникальных паролей и т.д.
ReklatsMasters
Ждём через пару лет инфы, что персональные данные всех россиян найдены на подпольном китайском сервере. Включая биометрические данные.
mikechips
Ждать ничего не надо, многие данные уже итак утекли. Причём даже хакерство не нужно — банальные открытые базы MongoDB нанесли вреда больше, чем любые китайцы.