alexzir
18.05.2022, 20:26
Обнаружена новая хакерская группировка, которая атакует российские госучреждения и предприятия аэрокосмической отрасли. Ее окрестили Space Pirates. Они обладают значительными ресурсами для совершения опасных кибератак. С 2019 по 2021 гг. киберпреступники совершили пять атак, две из которых были удачными. Злоумышленники сосредоточены на шпионаже и краже конфиденциальной информации.
Хакеры из Китая
Обнаружена новая хакерская группировка, которая атакует госучреждения и компании аэрокосмической отрасли, в том числе и в России. Они использует методы, которые характерны для киберпреступников из Китая. Об этом говорится в исследовании российской ИБ-компании Positive Technologies.
Злоумышленники получили название Space Pirates из-за строки «P1Rat», которые они используют в коде и выборе цели (аэрокосмическую отрасль). По данным экспертов, группировка обладает современным уровнем специальных знаний и значительными ресурсами, которые позволяют им создавать угрозу опасных кибератак. Хакеры действуют как минимум с 2017 г.
Space Pirates сосредоточены на шпионаже (https://www.cnews.ru/book/Spyware_-_Stalkerware_-_%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81% D0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%BE% D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%B0% D1%8F_%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0_-_%D1%88%D0%BF%D0%B8%D0%BE%D0%BD) и краже конфиденциальной информации, в том числе у российских компаний. Среди организаций, которые подверглись их атакам, — госучреждения и ИТ-департаменты (https://www.cnews.ru/book/%D0%98%D0%A2-%D0%BA%D0%B0%D0%B4%D1%80%D1%8B_-_%D0%98%D0%A2-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB_-_%D0%98%D0%A2-%D1%81%D0%BF%D0%B5%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D 1%81%D1%82_-_%D0%98%D0%A2-%D0%BC%D0%B5%D0%BD%D0%B5%D0%B4%D0%B6%D0%B5%D1%80), предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии (https://www.cnews.ru/book/%D0%93%D1%80%D1%83%D0%B7%D0%B8%D1%8F) и Монголии (https://www.cnews.ru/book/%D0%9C%D0%BE%D0%BD%D0%B3%D0%BE%D0%BB%D0%B8%D1%8F).
Атаки Space Pirates в России
В конце 2019 г. неуточненное в исследовании российское предприятие авиационно-космического сектора получило фишинговое письмо с вредоносным (https://www.cnews.ru/book/%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%97%D0%BB%D0%BE%D0%B2%D1%80%D0%B5%D0%B4_-_malware) программным обеспечением. В период с 2019 г. по 2021 г. эксперты выявили еще четыре атаки, которым подверглись четыре отечественные компании, две из которых с госучастием.
https://filearchive.cnews.ru/img/news/2022/05/04/china600.jpg (https://filearchive.cnews.ru/img/news/2022/05/04/china600.jpg)
Китайские хакеры атакуют российские компании
Согласно отчету Positive Technologies (https://www.cnews.ru/book/Positive_Technologies_-_%D0%9F%D0%BE%D0%B7%D0%B8%D1%82%D0%B8%D0%B2_%D0%A2 %D0%B5%D0%BA%D0%BD%D0%BE%D0%BB%D0%BE%D0%B4%D0%B6%D 0%B8%D0%B7_-_%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%9F%D0%BE %D0%B7%D0%B8%D1%82%D0%B8%D0%B2), две атаки хакеров в России оказались успешными. В первом случае злоумышленники получили доступ минимум к двум десяткам серверов (https://www.cnews.ru/book/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80_-_%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BD%D1%8B% D0%B5_%D0%BF%D0%BB%D0%B0%D1%82%D1%84%D0%BE%D1%80%D 0%BC%D1%8B) в корпоративной сети компании. Там они присутствовали около 10 месяцев. За время атаки Space Pirates похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов (https://www.cnews.ru/book/DNS_-_Domain_Name_System_-_%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%B4 %D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85_%D0%B8% D0%BC%D1%91%D0%BD).
При второй успешной атаке хакеры закрепились в сети российской (https://www.cnews.ru/book/%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D1%8F_-_%D0%A0%D0%A4_-_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B9%D1%81%D0%BA% D0%B0%D1%8F_%D1%84%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D 1%86%D0%B8%D1%8F) компании уже немного дольше — более чем на один год. Киберпреступники (https://www.cnews.ru/book/%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D 0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1% 8C_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5% D1%80%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D 0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86% D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D 0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1% 82%D1%8C_-_%D0%98%D0%91-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%82%D 0%BE%D1%80_-_%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5% D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1 %8C_-_Cybersecurity) получили сведения о входящих в сеть (https://www.cnews.ru/book/WWW_-_World_Wide_Web_-_Web_-_%D0%92%D1%81%D0%B5%D0%BC%D0%B8%D1%80%D0%BD%D0%B0% D1%8F_%D0%BF%D0%B0%D1%83%D1%82%D0%B8%D0%BD%D0%B0_-_Internet_-_%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82) компьютерах и установили вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах присутствия компании.
Мнения экспертов
Во время исследования было установлено много пересечений с инструментарием других группировок. Но основных пересечений (по сетевой инфраструктуре, по тактикам и техникам) обнаружено не было, рассказал РБК (https://www.cnews.ru/book/%D0%A0%D0%91%D0%9A_-_%D0%A0%D0%BE%D1%81%D0%91%D0%B8%D0%B7%D0%BD%D0%B5% D1%81%D0%9A%D0%BE%D0%BD%D1%81%D0%B0%D0%BB%D1%82%D0 %B8%D0%BD%D0%B3) руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов (https://www.cnews.ru/book/%D0%9A%D1%83%D0%B2%D1%88%D0%B8%D0%BD%D0%BE%D0%B2_% D0%94%D0%B5%D0%BD%D0%B8%D1%81). «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников», — говорит он.
Возникновение новой группировки подтвердили изданию и в Центре предотвращения киберугроз CyberART ГК Innostage. Среди основных жертв хакеров в компании также наблюдали госсутруктуры.
Эксперты предполагают, что Space Pirates имеет азиатские (https://www.cnews.ru/book/%D0%90%D0%B7%D0%B8%D1%8F_-_%D0%90%D0%B7%D0%B8%D0%B0%D1%82%D1%81%D0%BA%D0%B8% D0%B9_%D1%80%D0%B5%D0%B3%D0%B8%D0%BE%D0%BD) корни, так как на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.
«В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском», — подтверждает мнение об азиатских корнях группировки эксперт по кибербезопасности «Лаборатории Касперского (https://www.cnews.ru/book/Kaspersky_-_%D0%9B%D0%B0%D0%B1%D0%BE%D1%80%D0%B0%D1%82%D0%BE% D1%80%D0%B8%D1%8F_%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D 1%80%D1%81%D0%BA%D0%BE%D0%B3%D0%BE)» Денис Легезо (https://www.cnews.ru/book/%D0%9B%D0%B5%D0%B3%D0%B5%D0%B7%D0%BE_%D0%94%D0%B5% D0%BD%D0%B8%D1%81).Он подчеркивает, что такой тип хакерских атак, направленных на шпионаж, наиболее опасен. К китайским (https://www.cnews.ru/book/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9_-_%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0% D1%8F_%D0%9D%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D0%B0%D 1%8F_%D0%A0%D0%B5%D1%81%D0%BF%D1%83%D0%B1%D0%BB%D0 %B8%D0%BA%D0%B0_-_%D0%9A%D0%9D%D0%A0) хакерским группировкам Space Pirates отнесли и в компании Group-IB (https://www.cnews.ru/book/Group-IB_-_%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%B8%D0%BD %D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D 0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0 %BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8).
https://safe.cnews.ru/news/top/2022-05-17_obnaruzhena_kitajskaya_hakerskaya
Хакеры из Китая
Обнаружена новая хакерская группировка, которая атакует госучреждения и компании аэрокосмической отрасли, в том числе и в России. Они использует методы, которые характерны для киберпреступников из Китая. Об этом говорится в исследовании российской ИБ-компании Positive Technologies.
Злоумышленники получили название Space Pirates из-за строки «P1Rat», которые они используют в коде и выборе цели (аэрокосмическую отрасль). По данным экспертов, группировка обладает современным уровнем специальных знаний и значительными ресурсами, которые позволяют им создавать угрозу опасных кибератак. Хакеры действуют как минимум с 2017 г.
Space Pirates сосредоточены на шпионаже (https://www.cnews.ru/book/Spyware_-_Stalkerware_-_%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81% D0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%BE% D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%B0% D1%8F_%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0_-_%D1%88%D0%BF%D0%B8%D0%BE%D0%BD) и краже конфиденциальной информации, в том числе у российских компаний. Среди организаций, которые подверглись их атакам, — госучреждения и ИТ-департаменты (https://www.cnews.ru/book/%D0%98%D0%A2-%D0%BA%D0%B0%D0%B4%D1%80%D1%8B_-_%D0%98%D0%A2-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB_-_%D0%98%D0%A2-%D1%81%D0%BF%D0%B5%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D 1%81%D1%82_-_%D0%98%D0%A2-%D0%BC%D0%B5%D0%BD%D0%B5%D0%B4%D0%B6%D0%B5%D1%80), предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии (https://www.cnews.ru/book/%D0%93%D1%80%D1%83%D0%B7%D0%B8%D1%8F) и Монголии (https://www.cnews.ru/book/%D0%9C%D0%BE%D0%BD%D0%B3%D0%BE%D0%BB%D0%B8%D1%8F).
Атаки Space Pirates в России
В конце 2019 г. неуточненное в исследовании российское предприятие авиационно-космического сектора получило фишинговое письмо с вредоносным (https://www.cnews.ru/book/%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%97%D0%BB%D0%BE%D0%B2%D1%80%D0%B5%D0%B4_-_malware) программным обеспечением. В период с 2019 г. по 2021 г. эксперты выявили еще четыре атаки, которым подверглись четыре отечественные компании, две из которых с госучастием.
https://filearchive.cnews.ru/img/news/2022/05/04/china600.jpg (https://filearchive.cnews.ru/img/news/2022/05/04/china600.jpg)
Китайские хакеры атакуют российские компании
Согласно отчету Positive Technologies (https://www.cnews.ru/book/Positive_Technologies_-_%D0%9F%D0%BE%D0%B7%D0%B8%D1%82%D0%B8%D0%B2_%D0%A2 %D0%B5%D0%BA%D0%BD%D0%BE%D0%BB%D0%BE%D0%B4%D0%B6%D 0%B8%D0%B7_-_%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%9F%D0%BE %D0%B7%D0%B8%D1%82%D0%B8%D0%B2), две атаки хакеров в России оказались успешными. В первом случае злоумышленники получили доступ минимум к двум десяткам серверов (https://www.cnews.ru/book/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80_-_%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BD%D1%8B% D0%B5_%D0%BF%D0%BB%D0%B0%D1%82%D1%84%D0%BE%D1%80%D 0%BC%D1%8B) в корпоративной сети компании. Там они присутствовали около 10 месяцев. За время атаки Space Pirates похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов (https://www.cnews.ru/book/DNS_-_Domain_Name_System_-_%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%B4 %D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85_%D0%B8% D0%BC%D1%91%D0%BD).
При второй успешной атаке хакеры закрепились в сети российской (https://www.cnews.ru/book/%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D1%8F_-_%D0%A0%D0%A4_-_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B9%D1%81%D0%BA% D0%B0%D1%8F_%D1%84%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D 1%86%D0%B8%D1%8F) компании уже немного дольше — более чем на один год. Киберпреступники (https://www.cnews.ru/book/%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D 0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1% 8C_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5% D1%80%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D 0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86% D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D 0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1% 82%D1%8C_-_%D0%98%D0%91-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%82%D 0%BE%D1%80_-_%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5% D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1 %8C_-_Cybersecurity) получили сведения о входящих в сеть (https://www.cnews.ru/book/WWW_-_World_Wide_Web_-_Web_-_%D0%92%D1%81%D0%B5%D0%BC%D0%B8%D1%80%D0%BD%D0%B0% D1%8F_%D0%BF%D0%B0%D1%83%D1%82%D0%B8%D0%BD%D0%B0_-_Internet_-_%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82) компьютерах и установили вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах присутствия компании.
Мнения экспертов
Во время исследования было установлено много пересечений с инструментарием других группировок. Но основных пересечений (по сетевой инфраструктуре, по тактикам и техникам) обнаружено не было, рассказал РБК (https://www.cnews.ru/book/%D0%A0%D0%91%D0%9A_-_%D0%A0%D0%BE%D1%81%D0%91%D0%B8%D0%B7%D0%BD%D0%B5% D1%81%D0%9A%D0%BE%D0%BD%D1%81%D0%B0%D0%BB%D1%82%D0 %B8%D0%BD%D0%B3) руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов (https://www.cnews.ru/book/%D0%9A%D1%83%D0%B2%D1%88%D0%B8%D0%BD%D0%BE%D0%B2_% D0%94%D0%B5%D0%BD%D0%B8%D1%81). «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников», — говорит он.
Возникновение новой группировки подтвердили изданию и в Центре предотвращения киберугроз CyberART ГК Innostage. Среди основных жертв хакеров в компании также наблюдали госсутруктуры.
Эксперты предполагают, что Space Pirates имеет азиатские (https://www.cnews.ru/book/%D0%90%D0%B7%D0%B8%D1%8F_-_%D0%90%D0%B7%D0%B8%D0%B0%D1%82%D1%81%D0%BA%D0%B8% D0%B9_%D1%80%D0%B5%D0%B3%D0%B8%D0%BE%D0%BD) корни, так как на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.
«В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском», — подтверждает мнение об азиатских корнях группировки эксперт по кибербезопасности «Лаборатории Касперского (https://www.cnews.ru/book/Kaspersky_-_%D0%9B%D0%B0%D0%B1%D0%BE%D1%80%D0%B0%D1%82%D0%BE% D1%80%D0%B8%D1%8F_%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D 1%80%D1%81%D0%BA%D0%BE%D0%B3%D0%BE)» Денис Легезо (https://www.cnews.ru/book/%D0%9B%D0%B5%D0%B3%D0%B5%D0%B7%D0%BE_%D0%94%D0%B5% D0%BD%D0%B8%D1%81).Он подчеркивает, что такой тип хакерских атак, направленных на шпионаж, наиболее опасен. К китайским (https://www.cnews.ru/book/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9_-_%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0% D1%8F_%D0%9D%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D0%B0%D 1%8F_%D0%A0%D0%B5%D1%81%D0%BF%D1%83%D0%B1%D0%BB%D0 %B8%D0%BA%D0%B0_-_%D0%9A%D0%9D%D0%A0) хакерским группировкам Space Pirates отнесли и в компании Group-IB (https://www.cnews.ru/book/Group-IB_-_%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%B8%D0%BD %D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D 0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0 %BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8).
https://safe.cnews.ru/news/top/2022-05-17_obnaruzhena_kitajskaya_hakerskaya