Ruské federálne agentúry boli napadnuté čínskym vírusom Webdav-O

Za sériou cielených útokov proti ruským federálnym výkonným orgánom v roku 2020 mohla byť amalgáma viacerých štátom sponzorovaných skupín hrozieb z Číny.

Najnovší výskum, ktorý zverejnila spoločnosť Group-IB so sídlom v Singapure, sa ponára do časti počítačového vírusu s názvom „Webdav-O“, ktorá bola zistená pri prienikoch, pričom firma zaoberajúca sa kybernetickou bezpečnosťou pozorovala podobnosti medzi nástrojom a nástrojom populárneho trójskeho koňa s názvom “BlueTraveller”, o ktorom je známe, že je prepojený s čínskou skupinou hrozieb s názvom TaskMasters a využívaný v zákerných činnostiach s cieľom špionáže a plienenie dôverných dokumentov.

“Čínski APT sú jednou z najpočetnejších a najagresívnejších hackerských komunít,” uviedli vedci Anastasia Tikhonova a Dmitrij Kupin. “Hackeri sa väčšinou zameriavajú na štátne agentúry, priemyselné zariadenia, vojenských dodávateľov a výskumné ústavy. Hlavným cieľom je špionáž: útočníci získajú prístup k dôverným údajom a snažia sa čo najdlhšie skrývať svoju prítomnosť.”

Správa stavia na množstve verejných zverejnení v máji od spoločností Solar JSOC a SentinelOne, z ktorých obe odhalili malvér s názvom „Mail-O“, ktorý bol pozorovaný aj pri útokoch proti ruským federálnym výkonným orgánom na prístup ku cloudovej službe Mail.ru. SentinelOne ho spája s variantom iného známeho škodlivého softvéru s názvom „PhantomNet“ alebo „SManager“, ktorý používa aktér hrozieb s názvom TA428.

„Hlavným cieľom hackerov bolo úplne kompromitovať IT infraštruktúru a ukradnúť dôverné informácie vrátane dokumentov z uzavretých segmentov a e-mailovej korešpondencie kľúčových federálnych výkonných orgánov,“ poznamenal Solar JSOC a dodal, že „kyberzločinci si zabezpečili vysokú úroveň utajenia prostredníctvom používanie legitímnych nástrojov, nezistiteľného malvéru a hlboké pochopenie špecifík práce nástrojov na ochranu informácií inštalovaných vo vládnych orgánoch.“

Analýza skupiny Group-IB sa sústreďuje na vzorku Webdav-O, ktorá bola nahraná do VirusTotal v novembri 2019, a na presahy, ktoré zdieľa so vzorkou malvéru, ktorú podrobne opísal Solar JSOC, pričom výskumníci zistili, že ide o novšiu, čiastočne improvizovanú verziu s pridanými funkciami. . Zistená vzorka Webdav-O bola tiež prepojená s trójskym koňom BlueTraveller s odvolaním sa na podobnosti zdrojového kódu a spôsob spracovania príkazov.

A čo viac, ďalšie vyšetrovanie sady nástrojov TA428 odhalilo množstvo spoločných čŕt medzi BlueTraveller a rodiacim sa malvérovým kmeňom s názvom „Albaniiutas“, ktorý bol v decembri 2020 pripísaný aktérovi hrozby, z čoho vyplýva, že Albaniiutas je nielen aktualizovaný variant BlueTraveller, ale aj to, že Webdav -O malware je verzia BlueTraveller.

“Je pozoruhodné, že čínske hackerské skupiny si aktívne vymieňajú nástroje a infraštruktúru, ale možno je to práve tento prípad,” uviedli vedci. “To znamená, že jeden trójsky kôň môže byť nakonfigurovaný a upravený hackermi z rôznych oddelení s rôznymi úrovňami výcviku a s rôznymi cieľmi. Buď obe čínske hackerské skupiny (TA428 a TaskMasters) zaútočili v roku 2020 na ruské federálne výkonné orgány, alebo že existuje jedna zjednotená čínska hackerská skupina zložená z rôznych jednotiek.”