Китайских хакеров заподозрили в многолетних атаках на российские госструктуры

Эксперты Positive Technologies рассказали «Ъ» о том, что группа хакеров под названием TaskMasters с предположительно азиатскими корнями около девяти лет атаковала государственные структуры и компании, часть которых находилась в России.

Как минимум за девять лет было скомпрометировано более 30 организаций из отраслей промышленности, строительства, энергетики, недвижимости и так далее. По словам экспертов, 24 значимых организаций располагаются на территории России. О каких госструктурах и компаниях идёт речь — эксперты не говорят. Также неизвестна цель атак: для чего хакерам полученная информация — ответить затруднительно.

Директор экспертного центра безопасности Positive Technologies Алексей Новиков заявил, что TaskMasters создавали специфические задания в планировщике задач на атакованных компьютерах — они позволяют выполнять команды операционной системы в определённый промежуток времени. После взлома локальных сетей хакеры исследовали инфраструктуру, загружая вредоносные программы, созданные для удалённого шпионажа.

Отмечается, что в коде обнаруженных инструментов, которыми пользовались хакеры для перекачки гигабайтов информации на свои серверы, встречались упоминания китайских разработчиков. Более того, во время некоторых атак эксперты фиксировали подключения с IP-адресов, указывающих на местоположение в городах Китая.

Эксперты из «Лаборатории Касперского» следят за этой группой ещё с 2016 года. Они называют её иначе — не TaskMasters, а BlueTraveler. Утверждается, что злоумышленники также могут являться носителями преимущественно китайского языка, а метод шпионажа в локальной инфраструктуре при помощи планировщика задач обычно используется в интересах политической разведки или промышленного шпионажа — именно поэтому в «Лаборатории Касперского» не исключают, что основными объектами атак могут быть госструктуры из России и СНГ.

Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов подчёркивает, что инструменты хакеров могут оставаться не замеченными ни антивирусами, ни службами информационной безопасности:

Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей.