Группировка APT31, известная атаками на госорганы разных стран, проявила активность и в России, сообщила компания Positive Technologies.
APT31 (она же Hurricane Panda, она же Zirconium) активна по меньшей мере с 2016 года, её интересы — кибершпионаж и сбор конфиденциальных данных, представляющих стратегическую важность, сказано в сообщении.
Группа проявляет особый интерес к госсектору по всему миру: её жертвами в разное время становились правительство Финляндии, и, предположительно, правительства Норвегии и Германии. Ряд исследователей предполагает, что за серией атак на организации и лица, близкие к кандидатам в президенты США, во время предвыборной компании 2020 года, тоже стоит APT31. В числе других целей группировки — аэрокосмические и оборонные предприятия, международные финансовые компании, сектор высоких технологий, телекоммуникационная отрасль и медиа.
В ходе исследования одного из последних образцов вредоносного ПО специалисты Positive Technologies обнаружили ссылку на фишинговый домен inst.rsnet-devel[.]com, имитирующий домен федеральных органов государственной власти и органов государственной власти субъектов РФ, расположенные в отдельном сегменте Интернета. По мнению экспертов Positive Technologies, такой вредоносный домен предназначен для того, чтобы ввести в заблуждение как самих госслужащих, так и те компании, которые работают с госструктурами.
Positive Technologies участвует в обмене данными о компьютерных инцидентах в рамках системы ГосСОПКА, координатором работы которой выступает Национальный координационный центр по компьютерным инцидентам (НКЦКИ, cert.gov.ru). В рамках этой инициативы российские компании тех отраслей, которые находятся сейчас в зоне повышенного риска, получат от центра соответствующие уведомления.
«В последние годы фишинг остаётся одним из самых эффективных инструментов в руках атакующих. Для повышения результативности фишинговых атак злоумышленники создают объекты, имитирующие информационные ресурсы государственных органов, используют подлинные документы и другие достоверные сведения, добытые в ходе компьютерных атак. Это позволяет им формировать письма, вызывающие доверие получателей, а открытие таких писем [адресатом] приводит к проникновению злоумышленников внутрь системы с целью кражи информации, финансовых сведений и проведения деструктивных действий. В последнее время информационные системы государственных органов стали одним из основных объектов устремлений кибергруппировок. Для успешного противодействия таким атакам необходимо оперативное распространение информации об используемых злоумышленниками средствах и методах атак и способах их выявления. Такой механизм реализуется в рамках ГосСОПКА», — отмечает заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов.
«За год у APT31 появились новые версии вредоносного ПО, которые злоумышленники сегодня активно используют, инфраструктура группы, как мы видим, тоже разрастается — всё это, вкупе с тем, что ранее группировка не атаковала Россию, позволяет предположить, что она расширяет географию интересов на страны, где её растущая активность может быть обнаружена, в частности на нашу страну, — рассказывает Денис Кувшинов, глава отдела исследования угроз ИБ Positive Technologies. — Мы полагаем, что в ближайшее время будет выявлено применение этой группой в атаках, в том числе на Россию, и другого инструментария, который можно будет идентифицировать по кодовому соответствию либо сетевой инфраструктуре».
