Прошлой осенью Microsoft выдвигала против группировки обвинение в нападках на кандидатов в американские президенты и связанных с выборами лиц.

Признаки атак сообщества хакеров АРТ31 обнаружены в РФ. Некоторые эксперты уверены, что оно связано со спецслужбами Китая. До недавнего времени эти киберпреступники специализировались на госструктурах различных стран и лицах, причастных к президентским выборам в Америке.

О попытках взлома в России, осуществленных киберпреступниками из АРТ31, сообщили сотрудники Positive Technologies – организации, которая занимается обеспечением безопасности от хакерских атак. За первые 6 месяцев этого года с десяток рассылок были произведены также в Беларуси, Монголии, Канаде и США.

О конкретном числе и наименованиях подвергшихся нападению компаний специалисты умолчали, сказав о конфиденциальности сведений.

Журналисты РБК сделали запрос в НКЦКИ, занимающийся выявлением, профилактикой и устранением последствий атак киберпреступников.

Информация об APT31

Группировки, которые замечены в проведении сложных атак, отличающихся целенаправленностью, обозначают индексом АРТ.

Данное объединение киберпреступников называется также Zirconium или Hurricane Panda. Его активность наблюдается около 10 лет. Хакеры, входящие в группировку, занимаются атаками госсектора, слежкой за предполагаемыми жертвами и сбором личных данных.

По информации Microsoft, за март-сентябрь 2020 года зарегистрирована примерно тысяча атак на граждан, имеющих отношение к президентским выборам в США. Также были выявлены атаки на международных деятелей и аккаунты всемирно известных организаций.

Этим летом от норвежских властей стало известно о нападении на значимые объекты этой страны в 2018 году. Также о подобных инцидентах сообщали главы Германии и Финляндии.

Microsoft считает, что группа базируется в КНР, а власти Великобритании связывают ее с силовыми структурами этой страны.

Новые методы группировки APT31

Сотрудники Positive Technologies отмечают, что этой весной у группировки появились новые схемы кибератак и расширилась география. Злоумышленники делают рассылку со ссылкой на подставной сайт, имеющий адрес, сходный с именем порталов органов госвласти. Переход по ссылке открывает дорогу трояну удаленного доступа (дропперу), создающему вирусную библиотеку. Затем устанавливается приложение, передающее управление гаджетом преступникам.

Даниил Колосков, сотрудник подразделения изучения угроз информбезопасности Positive Technologies, рассказал, что созданная хакерами библиотека максимально приближена к имеющейся на гаджете. Еще одна фишка – настоящая валидная подпись дроппера, делающая трояна неотличимым от программы, прошедшей сертификацию. Скорее всего, злоумышленники ее украли. Это говорит о высоком уровне подготовленности команды.

Еще один сотрудник Positive Technologies, занимающийся информбезопасностью, Денис Кувшинов, предположил, что в скором времени Hurricane Panda начнет применять для кибератак новые схемы, которые можно будет вычислить по инфраструктуре или коду.

Уже обнаружена атака АРТ31 на госсистему ГосСОПКА. Эксперты рекомендуют готовиться к подобным попыткам взломов и вводить в свои защитные инструменты индикаторы, определяющие проникновение вируса.

Однозначна или нет идентификация хакеров 

Антон Юдаков, сотрудник центра Solar JSOC «Ростелекома», занимающегося противодействием хакерским атакам, отметил, что ведущая стратегия АРТ31 – «поселиться» в инфраструктуре объекта атаки и заниматься сбором информации. Россия в последнее время также находится в сфере интересов группировки. Он указал, что определить принадлежность хакеров непросто. В случае с данной группировкой речь идет о территориальном происхождении. Если же рассматривать инструменты, точки уязвимости, направления проникновения, стратегию и тактику, то однозначного вывода сделать нельзя, так как произошло некое «переопыление» имеющихся киберсообществ. Это свидетельствует либо об их взаимном сотрудничестве, либо о имеющейся конкретной группе с индексом АРТ, которая определяется неоднозначно из-за недостатка сведений.

Представитель «Лаборатории Касперского» Денис Легезо указал, что эта группировка не была зафиксирована ими в России. Он считает, что она не находится у Hurricane Panda среди первоочередных целей.

Совбез РФ предоставил информацию, согласно которой за прошлый год количество угрожающих безопасности страны кибератак возросло в 3.5 раза. Число нападений на важные объекты инфраструктуры в области информации достигло 120 тысяч, а общее число киберпреступлений за последние 5 лет увеличилось с 65 до 510 тысяч.

Андрей Крутский, представляющий российского президента в вопросах сотрудничества с другими государствами в сфере информбезопасности, считает, что киберпреступления могут в этом году в мировом масштабе причинить ущерб в 6 триллионов долларов.