Эксперты американской компании в области кибербезопасности Sentinel Labs допустили причастность хакеров из Китая к кибератаке на российские органы федеральной исполнительной власти, выявленной в 2020 году. Об этом говорится в отчете компании. На него обратил внимание «Коммерсант».
О «беспрецедентных» кибератаках в мае рассказала компания «Ростелеком-Сорлар» совместно с Национальным координационным центром по компьютерным инцидентам ФСБ. Согласно их отчету, главной целью хакеров была «полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ».
В документе отмечается, что атаку устроили «кибернаемники, преследующие интересы иностранного государства». Какого именно, не уточнялось.
По данным «Ростелеком-Солара», разработанные хакерами вредоносные программы ранее нигде не встречались. Они использовали облачные хранилища российских компаний «Яндекс» и Mail.ru Group и маскировали сетевую активность под утилиты «Яндекс.Диск» и «Диск-O».
Аналитики американской Sentinel Labs изучили программу Mail-O, задействованную при атаках, и пришли к выводу, что это вариант вредоносной программы PhantomNet или SManager, которую использует хакерская группа TA428. «Предыдущие сообщения» об этой группировке указывают на ее китайское происхождение, говорится в отчете Sentinel Labs.
В TA428 входит группировка ThunderCats, которая, по мнению американских экспертов, и причастна к кибератаке на российские государственные органы. Согласно выводам аналитиков, ThunderCats занимается сбором разведданных, и этого противника «не следует недооценивать».
«Коммерсант» отмечает, что в 2015 году Россия и Китай подписали соглашение в сфере кибербезопасности, по которому страны обязуются не атаковать друг друга.