Спецпроекты

Безопасность Интернет ИТ в госсекторе Техника

Обнаружена китайская хакерская группировка, атакующая российские госучреждения и аэрокосмическую отрасль

Обнаружена новая хакерская группировка, которая атакует российские госучреждения и предприятия аэрокосмической отрасли. Ее окрестили Space Pirates. Они обладают значительными ресурсами для совершения опасных кибератак. С 2019 по 2021 гг. киберпреступники совершили пять атак, две из которых были удачными. Злоумышленники сосредоточены на шпионаже и краже конфиденциальной информации.

Хакеры из Китая

Обнаружена новая хакерская группировка, которая атакует госучреждения и компании аэрокосмической отрасли, в том числе и в России. Они использует методы, которые характерны для киберпреступников из Китая. Об этом говорится в исследовании российской ИБ-компании Positive Technologies.

Злоумышленники получили название Space Pirates из-за строки «P1Rat», которые они используют в коде и выборе цели (аэрокосмическую отрасль). По данным экспертов, группировка обладает современным уровнем специальных знаний и значительными ресурсами, которые позволяют им создавать угрозу опасных кибератак. Хакеры действуют как минимум с 2017 г.

Space Pirates сосредоточены на шпионаже и краже конфиденциальной информации, в том числе у российских компаний. Среди организаций, которые подверглись их атакам, — госучреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.

Атаки Space Pirates в России

В конце 2019 г. неуточненное в исследовании российское предприятие авиационно-космического сектора получило фишинговое письмо с вредоносным программным обеспечением. В период с 2019 г. по 2021 г. эксперты выявили еще четыре атаки, которым подверглись четыре отечественные компании, две из которых с госучастием.

Китайские хакеры атакуют российские компании

Согласно отчету Positive Technologies, две атаки хакеров в России оказались успешными. В первом случае злоумышленники получили доступ минимум к двум десяткам серверов в корпоративной сети компании. Там они присутствовали около 10 месяцев. За время атаки Space Pirates похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов.

При второй успешной атаке хакеры закрепились в сети российской компании уже немного дольше — более чем на один год. Киберпреступники получили сведения о входящих в сеть компьютерах и установили вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах присутствия компании.

Мнения экспертов

Во время исследования было установлено много пересечений с инструментарием других группировок. Но основных пересечений (по сетевой инфраструктуре, по тактикам и техникам) обнаружено не было, рассказал РБК руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов. «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников», — говорит он.

Возникновение новой группировки подтвердили изданию и в Центре предотвращения киберугроз CyberART ГК Innostage. Среди основных жертв хакеров в компании также наблюдали госсутруктуры.

Эксперты предполагают, что Space Pirates имеет азиатские корни, так как на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.

«В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском», — подтверждает мнение об азиатских корнях группировки эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Он подчеркивает, что такой тип хакерских атак, направленных на шпионаж, наиболее опасен. К китайским хакерским группировкам Space Pirates отнесли и в компании Group-IB.

Кристина Холупова

Короткая ссылка