Positive Technologies и «Лаборатория Касперского» выявили группу киберпреступников, занимающуюся политической разведкой и промышленным шпионажем, которая 9 лет производила атаки с целью кражи данных на 24 российские компании и госструктуры.
Известно, что на сегодняшний день скомпрометировано более 30 компаний из сфер промышленности, строительства, энергетики и недвижимости. 24 из них находятся в России. Названия компаний пока засекречены.
В коде инструментов хакеров есть следы китайских разработчиков. Также во время ряда атак были замечены подключения с IP-адресов из Китая. Ключи для используемых программ встречаются на китайских форумах. Для взлома использовался планировщик задач операционной системы, поэтому группу киберпреступников назвали TaskMasters.
Проникая в локальную сеть, хакеры исследовали инфраструктуру, находили уязвимости, заводили вредоносные программы и использовали их для шпионажа, удалённо. Цели получения информации неизвестны.
В «Лаборатории Касперского» отмечают, что, скорее всего, эта же группа хакеров известна под именем BlueTraveler – её целями также являются госструктуры РФ и СНГ, и они так же используют метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач.
Ситуация осложняется тщательным сокрытием следов – гигабайты информации будут украдены прежде чем, техники злоумышленников заметят программы защиты от вирусов или службы безопасности.
Использование планировщика задач уже был испробован преступными группами Cobalt и MoneyTaker, атаковавших банковский сектор.
Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов комментирует ситуацию: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей».
Случай с TaskMasters необычен тем, что используемая утилита является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.