Центр мониторинга компании «Информзащиты» IZ:SOC обнаружил хакерскую активность спонсируемой китайским правительством группировки Winnti (она же APT41, AXIOM и BlackFly), направленную на промышленный шпионаж против российских предприятий ОПК, аэрокосмической отрасли, правительственных организаций и разработчиков ПО. Первые шаги группировки были зафиксированы в начале декабря, причем специалисты IZ:SOC обнаружили не только работу вредоносного ПО, но и действия атакующих, которые они проводили в режиме реального времени, что затрудняло составление маркеров заражения, поскольку шпионы могли менять стиль атаки по мере ее развития.
В состав используемого злоумышленниками инструментария входили средства для сбора информации, инструменты удаленного управления, многофункциональный зомби-компонент семейства Bisonal, утилиты для сканирования сети на предмет наличия уязвимости CVE-2017-0144, который использовался в EternalBlue, компоненты из набора Impacket, программы для перенаправления сетевого трафика и извлечения паролей из памяти, динамические библиотеки для инъекции вредоносного кода в легитимные процессы. Для повышения полномочий по оценкам специалистов IZ:SOC хакеры использовали в том числе и неизвестные уязвимости в средствах защиты российского производства.
Как пояснили для журнала «Коннект» в пресс-службе «Информазащит» уязвимость была полностью непризнанной и сведения о ней были разосланы как производителю уязвимого средства защиты, так и в НКЦКИ. Начат также процесс регистрации этой уязвимость в базе CVE, которую ведёт MITRE.
«Мы столкнулись с высокопрофессиональными действиями хорошо организованной группы, — пояснил Иван Мелехин, директор по развитию НИП ИНФОРМЗАЩИТА. — Часть инструментария, используемого ими, еще не попадалась «в поле» на территории РФ и не детектировалось стандартными средствами защиты. Это еще раз говорит нам о том, что в современном мире противодействие киберугрозам возможно только с привлечением специалистов, обладающих специальными знаниями и соответствующим опытом».
Энциклопедия Positive Technologies [1] так описывает деятельность хакеров: «Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы – это шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из разработанного собственными силами вредоносного ПО. WInnti использует сложные методы атак, в числе которых проникновение через захват посредника и атаки через тематические сайты. Группа точно знает кто их жертва – она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию и другие». Впрочем, даже в этой энциклопедии не упоминается, что группа занимается шпионажем против ОПК.
Действия китайских хакеров как бы намекают, что российская оборонная промышленность все-таки существует, и в ней есть интересные даже для Китая технологии. Важно, что деятельность шпионов была обнаружена практически сразу после их внедрения в корпоративную сеть. Это значит, что закон №187-ФЗ «О безопасности КИИ» работает — коммерческий центр мониторинга, контракт с которым предприятиям пришлось заключить, смог вовремя обнаружить даже хорошо организованную атаку на предприятия критической инфраструктуры. О качестве атаки говорит тот факт, что для проникновения использовалась неизвестная уязвимость в российском средстве защиты. Китайским хакерам нужно было самостоятельно исследовать эти инструменты и создавать эксклюзивный инструмент нападения. И все-равно незамеченной их деятельность не осталась. Однако важно помнить, что в России большинство ИТ-систем построены на китайском оборудовании, где вполне могут быть закладки. Поэтому проверять на соблюдение требований по информационной безопасности нужно в том числе и то оборудование, которое производится на предприятиях наших политических союзников.
[1] https://www.ptsecurity.com/ru-ru/research/hacker-groups/winnti/
