Хакерские группировки, связанные с властями и военными Китая, сделали Россию своей основной целью. Хакеры из групп Curious Gorge и Bronze President атакуют сети российских госведомств и структур, военных подрядчиков и логистических компаний. Под ударом оказалось даже российский МИД. С чем связан их внезапный интерес к России, остается неизвестным, но до событий на Украине они действовали в основном в азиатских странах.

Китай пошел против России и инициировал цикл хакерских атак на российские органы власти, сообщают аналитики команды Google Threat Analysis Group (TAG). Согласно их отчету, активнее других российские компьютерные сети атакует группировка Curious Gorge.

Входящие в состав этой группировки хакеры раз за разом атакуют правительственные, военные, логистические и производственные организации на территории России. Отчет Google TAG был опубликован 3 мая 2022 г., и в нем отдельно указано, что в последний раз китайские хакеры из Curious Gorge проявляли себя в конце апреля 2022 г., напав на сети нескольких российских оборонных подрядчиков и производителей, а также на Министерство иностранных дел России и на российскую логистическую компанию. Ее название в отчете не приводится.

Что именно побуждает хакеров атаковать российские объекты, на момент публикации материала оставалось неизвестным. Целями группировки Curious Gorge также являются различные компании на Украине и Центральной Азии.

По данным Google TAG, за Curious Gorge могут стоять китайские власти. Ей приписывают прочные связи с Силами стратегического обеспечения Народно-освободительной армии Китай (ССО НОАК). Это отдельный вид вооруженных сил в составе НОАК, и в зону деятельности ССО как раз входит киберсфера.

По данным ИБ-компании Secureworks, Bronze President либо «спонсируется, либо, по крайней мере, терпимо относится к китайскому правительству» и «похоже, меняет свои цели в ответ на политическую ситуацию в Европе и происходящее на Украине». Еще несколько недель назад хакеры работали в Юго-Восточной Азии, но теперь отдают предпочтение России и некоторым странам Европы. «Это говорит о том, что злоумышленники получили обновленные задачи, которые отражают меняющиеся требования к сбору разведывательных данных Китайской народной республики», – говорят исследователи.

Эксперты Secureworks предполагают, что попадание России в поле зрения Bronze President может указывать на «попытку Китая внедрить современное вредоносное ПО в компьютерные системы российских чиновников». Они обнаружили и проанализировали распространяемый группировкой вредоносный исполняемый файл «Благовещенск – Благовещенский пограничный отряд.exe» (Blagoveshchensk – Blagoveshchensk Border Detachment.exe), который был замаскирован под PDF-файл и зашифрован. Внутри него скрывался загрузчик вредоносного ПО PlugX.

Отметим, что Благовещенск – это город, который находится недалеко от границы с Китаем. В нем располагаются части российской армии.

При запуске файл выводит на экран документ-приманку, написанный почему-то на английском языке, в котором описывается ситуация с беженцами и санкции ЕС. А пока запустивший файл пользователь читает документ, на его компьютере в фоновом режиме идет загрузка вредоноса PlugX с командно-контрольного сервера. PlugX – это троян удаленного доступа, используемый для кражи файлов, выполнения удаленных команд, установке бэкдоров и развертыванию дополнительных вредоносных программ. Это один из инструментов Bronze President – хакеры также пользуются вредоносами Cobalt Strike, China Chopper, RCSession и ORat.

Источник: CNews

Agentura.ru 2022