03/08/21
Хакерская группировка АРТ31, известная многочисленными атаками на государственные структуры разных стран, впервые атаковала российские компании. По данным Positive Technologies, в первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.
Хакерская группа АРТ31, также известная как Hurricane Panda и Zirconium, функционирует с 2010-х годов. Ее представители атакуют в основном государственный сектор, шпионя за потенциальными жертвами и собирая конфиденциальную информацию. Microsoft ранее указывала, что APT31 ведет деятельность из Китая, а правительство Великобритании в середине июля связало деятельность этой группировки с Министерством госбезопасности Китая.
По мнению экспертов Positive Technologies, с весны 2021 года АРТ31 стала расширять географию атак и применять новый способ взлома и заражения гаджетов. Согласно данным компании, хакеры отправляют фишинговые письма, в которых содержится ссылка на подставной домен — inst.rsnet-devel[.]com. Он полностью имитирует домен тех или иных госорганов. При открытии ссылки в компьютер пользователя попадает так называемый дроппер (троян удаленного доступа), который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.
Старший специалист отдела исследования угроз информационной безопасности Positive Technologies Даниил Колосков предупреждает, что разработчики вредоносного программного обеспечения стараются максимально приблизить вредоносную библиотеку к оригинальной, названия наборов функций зараженной библиотеки частично совпадают с официальной. Еще одна уловка хакеров заключалась в том, что в ходе некоторых атак дроппер был подписан реальной валидной цифровой подписью, и многие средства безопасности воспринимали его как программу от сертифицированного производителя. Эксперты Positive Technologies считают, что подпись, скорее всего, была украдена, что свидетельствует о хорошей подготовке группировки.
Глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов прогнозирует, что в ближайшее время АРТ31 станет использовать при атаках, в том числе на Россию, и другие инструменты, их можно будет обнаружить по соответствию коду или инфраструктуре Сети. Специалисты Positive Technologies уже сообщили о зафиксированной ими атаке хакерской группы в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В ближайшее время в компании не ждут снижения числа кибератак со стороны АРТ31, поэтому советуют коммерческим и иным структурам внедрять индикаторы в свои средства защиты, которые помогут вовремя обнаружить подобный вирус.
