Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Расследование Positive Technologies

14/05/19

Эксперты Expert Security Center компании Positive Technologies (PT ESC) обнаружили кибергруппировку предположительно с азиатскими корнями. Злоумышленники  атаковали более 30 организаций из различных отраслей, включая промышленность, энергетический и нефтегазовый секторы России, СНГ и других странах. При этом значительное число жертв находилось в России и СНГ. Главная цель группы — кража конфиденциальной информации организаций. Группа действует на протяжении как минимум нескольких лет: обнаружены следы активности TaskMasters начиная с 2010 года.

Группа использовала необычный метод закрепления в инфраструктуре: участники создавали специфические задания (таски) в планировщике задач (поэтому группировка получила название TaskMasters).  Планировщик задач позволяет выполнять команды ОС и запускать ПО в определенный момент времени, указанный в задаче. Используемый кибергруппировкой планировщик AtNow позволяет выполнять задачи не только локально, но и на удаленных компьютерах сети, и делать это независимо от временных настроек этих узлов. Кроме того, эта утилита не требует установки. Все это упрощает автоматизацию атаки.

«После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, — рассказывает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Обнаружить подобные атаки можно с помощью специализированных средств защиты, в том числе PT Network Attack Discovery, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов».

Эксперты Positive Technologies предполагают, что члены группы TaskMasters могут быть жителями стран Азии. В коде используемых ими инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны. Помимо этого, многие утилиты из пакета TaskMasters содержат сообщения об ошибках и другую отладочную информацию, написанные на английском языке с ошибками, что указывает на то, что он не является для разработчиков родным языком.

За последние два с половиной года специалисты экспертного центра безопасности компании Positive Technologies провели более пятидесяти расследований инцидентов информационной безопасности, в числе которых обнаружение группировки ICEFOG, выявление APT на государственные и частные компании, а также расследование действий группировки Cobalt, следы активности участников которой эксперты сумели обнаружить и даже после ареста ее лидера.

Темы:Positive Technologies
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...