По сообщению компании «Информзащита», специалисты ее центра обнаружения и противодействия киберугрозам IZ:SOC засекли хакерскую атаку, проводимую предположительно китайской группировкой Winnti, которая действует с 2012 г. Основные жертвы группы Winnti – организации ВПК, аэрокосмической отрасли, правительственные организации, разработчики ПО. Winnti ранее неоднократно взламывала промышленные и высокотехнологичные компании из Тайваня и Европы, но теперь, считают специалисты, решила переключиться на российские компании. Анализируя действия и применяемый функционал злоумышленников, эксперты по киберпреступлениям «Информзащиты» делают вывод, что это попытка промышленного шпионажа.

Первые шаги разведки были зафиксированы в начале декабря. Все это время действия атакующих находились под контролем, несмотря на то что в течение всей атаки специалисты наблюдали не только работу вредоносного ПО, но и действия атакующих, проводимые «руками», в онлайн-режиме. Это представляло особую сложность, так как, например, способы сокрытия своего присутствия атакующие меняли на лету.

Эксперты изучили техники, тактики группы и применяемые методы. В состав используемого злоумышленниками инструментария входили средства для сбора информации, средства удаленного управления, многофункциональный бекдор семества Bisonal, утилиты для сканирования сети на предмет наличия уязвимости CVE-2017-0144 (MS17-010), утилиты из набора Impacket, программы для перенаправления сетевого трафика и извлечения паролей из памяти, динамические библиотеки для инъекции вредоносного кода в легитимные процессы. Для повышения полномочий использовались в том числе уязвимости нулевого дня в средствах защиты российского производства.

В процессе работы с этими данными Центром мониторинга IZ:SOC были выделены специфичные маркеры заражения, составлены рекомендации по обнаружению. Как подчеркивают в «Информзащите», часть инструментария, используемого группой, еще не попадалась «в поле» на территории РФ и не детектировалась стандартными средствами защиты. Информация была предоставлена ряду поставщиков средств защиты и другим заинтересованным лицам.