В целевых атаках на субъекты КИИ обнаружен китайский след
16.06.2021
Статьи
APT-группировка, присутствие которой недавно обнаружили в российских государственных системах, действовала слишком грубо - пришли к выводе специалисты компании Sentinel Labs.
Именно поэтому маловероятны американские корни атакующих, а скорее можно говорить о китайском происхождении группы. Речь идёт об атаках, которые упомянули в своём исследовании эксперты «Ростелеком-Солар» и представители НКЦКИ.
Целевые атаки на субъекты критической информационной инфраструктуры (КИИ) России в 2020 году выросли на 40%. В кампаниях злоумышленников якобы фигурировала вредоносная программа «Mail-O», а атакующие при этом использовали облачные хранилища от «Яндекс» и Mail.ru Group. Специалисты Sentinel Labs отмечают, что сообщество слишком рано приписало авторство целевых атак западным киберпреступникам.
Эксперты обращают внимание на слишком грубые и отчасти непрофессиональные действия APT-группировки, хотя от США стоит ожидать более высоких стандартов. Sentinel Labs изучил Mail-O и предположил, что этот вредонос является вариантом другого зловреда — PhantomNet или SManager (упоминался в атаках группировки TA428). Такой вывод специалист сделал благодаря наличию одинаковой функции под названием «Entery» — ошибочного написания слова «Entry».
Именно поэтому маловероятны американские корни атакующих, а скорее можно говорить о китайском происхождении группы. Речь идёт об атаках, которые упомянули в своём исследовании эксперты «Ростелеком-Солар» и представители НКЦКИ.
Целевые атаки на субъекты критической информационной инфраструктуры (КИИ) России в 2020 году выросли на 40%. В кампаниях злоумышленников якобы фигурировала вредоносная программа «Mail-O», а атакующие при этом использовали облачные хранилища от «Яндекс» и Mail.ru Group. Специалисты Sentinel Labs отмечают, что сообщество слишком рано приписало авторство целевых атак западным киберпреступникам.
Эксперты обращают внимание на слишком грубые и отчасти непрофессиональные действия APT-группировки, хотя от США стоит ожидать более высоких стандартов. Sentinel Labs изучил Mail-O и предположил, что этот вредонос является вариантом другого зловреда — PhantomNet или SManager (упоминался в атаках группировки TA428). Такой вывод специалист сделал благодаря наличию одинаковой функции под названием «Entery» — ошибочного написания слова «Entry».
