Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Российские эксперты обнаружили новую хакерскую группировку

Positive Technologies заявила об обнаружении новой хакерской группировки Space Pirates
Специалисты Positive Technologies выявили новую хакерскую группировку, объектом которой являются госучреждения, а также предприятия авиационно-космической отрасли. Она применяет методы, характерные для киберпреступников из Китая
Фото: Кирилл Каллиников / РИА Новости
Фото: Кирилл Каллиников / РИА Новости

О том, что экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую хакерскую группировку Space Pirates, говорится в поступившем в РБК исследовании этого центра. Такое название она получила из-за строки «P1Rat» в используемом злоумышленниками коде и нацеленности некоторых атак на авиационно-космическую отрасль.

Это так называемая APT-группа (advanced persistent threat, термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак), которая действует минимум с 2017 года. Ее ключевые интересы — шпионаж и кража конфиденциальной информации в том числе у российских организаций. Среди жертв, которых удалось выявить в ходе исследования угроз, — государственные учреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.

Впервые активность группы была зафиксирована в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора (какое — в исследовании не уточняется) получило фишинговое письмо с ранее не встречавшимся вредоносным программным обеспечением. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании, в том числе две с госучастием, которые были скомпрометированы подобным образом. По оценке экспертов Positive Technologies, две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свой вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах.

«Сбер» оценил число участвующих в кибервойне с Россией хакеров в 100 тыс.
Бизнес
Фото:Андрей Любимов / РБК

Представители Positive Technologies предполагают, что группировка имеет азиатские корни: на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.

Как рассказал руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов, в своем исследовании они видели много пересечений с инструментарием других группировок, при этом не было основных пересечений — по сетевой инфраструктуре, по тактикам и техникам. «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников», — указал он. Представитель Positive Techonologies пояснил, что они только сейчас сделали заявление про новую группировку, поскольку лишь недавно завершили расследование.

Группировка Space Pirates возникла недавно и пока не описана в публичных источниках, рассказал РБК руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин, но в этой компании ее называют SpaceP1rates. По его словам, их Центр предотвращения киберугроз фиксировал активность этой группировки, среди ее основных жертв он также назвал госструктуры.

Rutube возобновил работу спустя два дня после хакерской атаки
Технологии и медиа
Фото:Владислав Шатило / РБК

Старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо согласен, что техника этой группировки похожа на используемую азиатскими злоумышленниками. «В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском. Подобные атаки обычно не массовые, а сложные и таргетированные, направленные на шпионаж. Такой тип атак может быть наиболее опасен, если злоумышленникам удастся получить доступ к интересующим их данным», — отметил эксперт.

Если анализировать тактику группы, то становится понятно, что большая часть применяемых инструментов используется сразу несколькими хакерскими группами, которые, как правило, относят к китайским, говорит руководитель отдела исследования сложных киберугроз компании Group-IB Анастасия Тихонова. По индустриальной принадлежности атакуемых объектов (госучреждения, оборонная и авиационная отрасль, телекоммуникационный сектор и т.д.) также можно предположить китайское происхождение группы. Тихонова подчеркнула, что с каждым годом становится все сложнее относить ту или иную кампанию к конкретной хакерской группе, так как злоумышленники редко используют уникальные инструменты, а чаще дорабатывают те, что ранее применяли их «коллеги по цеху». В то же время группы объединяются для отдельных кампаний и «перемешиваются» друг с другом.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Видео недоступно при нулевом балансе

Лента новостей
Курс евро на 9 ноября
EUR ЦБ: 105,45 (-0,12)
Инвестиции, 08 ноя, 17:48
Курс доллара на 9 ноября
USD ЦБ: 97,83 (-0,24)
Инвестиции, 08 ноя, 17:48
Археологи рассказали об исследовании врат в загробный мир в МексикеОбщество, 14:05
Минобороны сообщило об отражении 11 контратак ВСУ в Курской областиПолитика, 14:04
Власти ответили на пранк с изготовлением шапочек из фольги против НАТООбщество, 13:54
Гладков рассказал, как над ним за день пролетели два дрона ВСУПолитика, 13:44
«Я и моя богатая жизнь»: какие коды транслируют успехРБК и Сбер Первый, 13:38
В зоне военной операции погиб воевавший за ВСУ 22-летний британецПолитика, 13:24
Умер пресс-секретарь певца SHAMAN Коробков-ЗемлянскийОбщество, 13:06
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Минобороны сообщило об ударах по аэродромам ВСУ и местам запуска дроновПолитика, 12:58
Овечкин оформил дубль и стал третьей звездой дня в НХЛСпорт, 12:50
Какие ключевые штаты Трамп отобрал у демократов. ИнфографикаПолитика, 12:46
К свету: как сделать так, чтобы всем хватало электричестваРБК и Россети, 12:42
Итоги выборов президента США. Интерактивная картаПолитика, 12:38
Российские войска взяли село Волченка в ДНРПолитика, 12:37
Пас Миранчука помог «Атланте» выбить клуб Месси из плей-офф MLSСпорт, 12:27