Эксперты американской компании кибербезопасности Sentinel Labs сообщили, что за недавними атаками против государственных органов РФ, предположительно, стоят взломщики ThunderCats — часть крупной группы киберпреступников TA428. По их данным, эти хакеры связаны с Китаем и ранее проводили нападения на ресурсы стран Юго-Восточной Азии. Специалисты указывают, что взломщики пытались собирать разведданные и опасность их действий нельзя недооценивать.
«Это первый случай, когда российские власти предоставили достаточно подробный технический разбор атаки. Несколько специалистов, в том числе и я, использовали эти данные для более глубокого расследования, чтобы обнаружить подлинного виновника», — заявил автор отчета Хуан Герреро-Саад.
По словам эксперта, ранее большинство специалистов посчитали, что атаку против РФ провели хакеры, работающие на западные спецслужбы. «С облегчением можем сказать, что это, скорее всего, не так, — хотя бы потому, что уровень написания вредоносного кода на Западе обычно выше», — добавил он.
Согласно анализу Sentinel Labs, вредоносная программа Mail-O (притворяется утилитой Disk-O от Mail.ru), которую использовали злоумышленники, — вариант вируса, известного под именем PhantomNet или SManager. В частности, в коде выявлены одни и те же орфографические ошибки, а построение программы в некоторых сегментах — как в обсуждаемых вирусах.
Герреро-Саад подчеркнул, что указанные программы с теми же ошибками применялись хакерской группировкой ТА428, которая ранее уже была замечена в попытках взлома российских и восточноазиатских платформ. ТА428, предположительно, связана с китайскими властями и действует в КНР. По словам эксперта, несмотря на опечатки, взломщики «эффективно бьют по крупным целям, и их нельзя недооценивать».
В мае центр противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, создан ФСБ РФ) опубликовал отчет о совершенных в конце 2020 года профессиональными хакерами кибератаках на федеральные органы исполнительной власти РФ. В документе было указано, что взломщики пытались собирать секретную информацию и действовали в интересах иностранного государства, но не говорилось какого.
В 2015 году Россия и Китай подписали межправительственное соглашение о сотрудничестве в области международной информационной безопасности. Среди прочего стороны обязались не практиковать взаимные кибератаки.