Một loạt các nhóm đe dọa được nhà nước bảo trợ từ Trung Quốc có thể đứng sau một loạt các cuộc tấn công có chủ đích nhằm vào các cơ quan hành pháp liên bang Nga vào năm 2020.
Nghiên cứu mới nhất do công ty Group-IB có trụ sở tại Singapore công bố đã đi sâu vào một phần của virus máy tính có tên là “Webdav-O“đã được phát hiện trong các cuộc xâm nhập, với công ty an ninh mạng quan sát thấy những điểm tương đồng giữa công cụ này và công cụ của Trojan phổ biến được gọi là”BlueTraveller“được biết là có liên hệ với một nhóm đe dọa của Trung Quốc có tên là TaskMasters và được triển khai trong các hoạt động độc hại với mục đích gián điệp và cướp đoạt tài liệu mật.
Các nhà nghiên cứu Anastasia Tikhonova và Dmitry Kupin: “Các APT của Trung Quốc là một trong những cộng đồng tin tặc đông đảo và năng nổ nhất. nói. “Tin tặc chủ yếu nhắm vào các cơ quan nhà nước, cơ sở công nghiệp, nhà thầu quân sự và viện nghiên cứu. Mục tiêu chính là gián điệp: những kẻ tấn công có quyền truy cập vào dữ liệu bí mật và cố gắng che giấu sự hiện diện của chúng càng lâu càng tốt.”
Báo cáo được xây dựng dựa trên một số thông tin công khai vào tháng 5 từ JSOC năng lượng mặt trời và SentinelOne, cả hai đều tiết lộ một phần mềm độc hại có tên “Mail-O” cũng đã được quan sát thấy trong các cuộc tấn công chống lại các cơ quan hành pháp liên bang Nga để truy cập vào dịch vụ đám mây Mail.ru, với việc SentinelOne gắn nó với một biến thể của một phần mềm độc hại nổi tiếng khác có tên là “PhantomNet “hoặc” SManager “được sử dụng bởi một tác nhân đe dọa có tên TA428.
Solar JSOC lưu ý: “Mục tiêu chính của các tin tặc là xâm phạm hoàn toàn cơ sở hạ tầng CNTT và đánh cắp thông tin bí mật, bao gồm tài liệu từ các phân đoạn đã đóng và thư từ email của các cơ quan hành pháp liên bang quan trọng”, Solar JSOC lưu ý. việc sử dụng các tiện ích hợp pháp, phần mềm độc hại không thể phát hiện và hiểu biết sâu sắc về các chi tiết cụ thể về công việc của các công cụ bảo vệ thông tin được cài đặt trong các cơ quan chính phủ. “
Phân tích của Group-IB tập trung vào một mẫu Webdav-O đã được tải lên VirusTotal vào tháng 11 năm 2019 và sự trùng lặp mà nó chia sẻ với mẫu phần mềm độc hại được Solar JSOC trình bày chi tiết, với các nhà nghiên cứu nhận thấy sau này là một phiên bản mới hơn, một phần ứng biến có các tính năng bổ sung . Mẫu Webdav-O được phát hiện cũng đã được liên kết với trojan BlueTraveller, trích dẫn các điểm tương đồng về mã nguồn và cách thức xử lý các lệnh.
Hơn nữa, cuộc điều tra sâu hơn về bộ công cụ của TA428 đã cho thấy nhiều điểm tương đồng giữa BlueTraveller và một chủng phần mềm độc hại mới ra đời có tên “Albaniiutas“được quy cho tác nhân đe dọa vào tháng 12 năm 2020, ngụ ý rằng không chỉ Albaniiutas là một biến thể cập nhật của BlueTraveller, mà phần mềm độc hại Webdav-O cũng là một phiên bản của BlueTraveller.
Các nhà nghiên cứu cho biết: “Đáng chú ý là các nhóm hacker Trung Quốc tích cực trao đổi các công cụ và cơ sở hạ tầng, nhưng có lẽ sự việc chỉ xảy ra ở đây”. “Điều này có nghĩa là một Trojan có thể được cấu hình và sửa đổi bởi các tin tặc từ các bộ phận khác nhau với các cấp độ đào tạo khác nhau và với các mục tiêu khác nhau.”
“Cả hai nhóm hacker Trung Quốc (TA428 và TaskMasters) đều tấn công các cơ quan hành pháp liên bang Nga vào năm 2020 hoặc có một nhóm hacker Trung Quốc thống nhất được tạo thành từ các đơn vị khác nhau.”
