Хакеры, которых часто связывают с правительством Китая, совершили кибератаку на российские компании. Впрочем, это был первый случай, когда предположительно китайские хакеры выбирают в качестве жертв российские компьютерные системы. Что еще известно о деятельности APT-31 — в материале «МБХ медиа».
Что сделали хакеры в России
По данным компании Positive Technologies, которая специализируется на кибербезопасности, на этот раз жертвой атак APT-31 стали российские компании. Тем не менее, кому именно и в каком качестве нанесли ущерб, неизвестно — Positive Technologies не имеет права раскрывать эту информацию из-за своей политики конфиденциальности. Однако в компании раскрыли, что хакеры пользовались необычной тактикой взлома: российские компании подверглись атаке APT31 путем рассылки фишинговых писем со ссылкой на фейковый домен, абсолютно идентичный доменам сайтов государственных органов. Таким образом, при открытии ссылки на компьютере пользователя активизировался вирус-троянец, с помощью которого хакеры могли управлять компьютером.
Кто такие APT31
По данным американской компании FireEye, предоставляющей услуги по кибербезопасности, члены группировки APT31 (иногда их также называют Zirconium) базируются в Китае. Как утверждает компания, в число целей группировки, в частности, входят государственные ресурсы, международные финансовые организации, аэрокосмическая и оборонная отрасль государств. FireEye считает, что APT31 работают непосредственно на китайское правительство, поэтому ее хакеры добывают ту информацию, которая пойдет на пользу властям Китая. Такого же мнения придерживается правительство Великобритании, чей Национальный центр кибербезопасности совместно с Белым домом США делал заявления о том, что за Китаем стоят и другие группировки киберпреступников, таких как APT40, занимающихся шпионажем, а также вымогательством у различных компаний по всему миру.
Впрочем, аббревиатура APT присутствует в наименовании группировки неслучайно: APT расшифровывается как Advanced Persistent Threat (дословно — «развитая устойчивая угроза»). Этот термин означает сложные атаки, которые совершаются на IT-инфраструктуру военных и государственных объектов с целью обнаружить на взломанном устройстве секретную информацию (однако в последнее время определение APT-атаки расширяется: например, оно может означать атаку, целью которой является сеть любой организации).
Например, согласно сообщениям Microsoft, члены APT31 пытались вмешаться в выборы президента США посредством кибератаки на людей, причастных к президентской кампании Джо Байдена. Как утверждает Microsoft, взломщиков явно интересовали почтовые ящики людей, аффилированных с кандидатом. С марта по сентябрь 2020 года Microsoft удалось выявить около тысяч атак со стороны APT31, причем 150 из них удалось предотвратить. Кроме того, APT31 также, вероятно, причастна к атаке на правительственные системы Норвегии в 2018 году — им удалось похитить пароли, принадлежавшие сотрудниками в различных норвежских правительственных учреждениях. Получили ли тогда хакеры доступ к каким-либо государственным секретам, неизвестно.