Эксперты обнаружили группу хакеров из Китая, атакующую разработчиков ПО
Кибербезопасность. Архивное фото
Читать ria.ru в
МОСКВА, 7 сен - РИА Новости. Эксперты компании Positive Technologies обнаружили хакерскую группировку из Китая, которая занимается шпионажем и атаками против мировых разработчиков ПО, в том числе российских производителей софта, говорится в исследовании компании.
По данным компании, группа Winnti активна по меньшей мере с 2012 года, происходит из Китая. Ключевые интересы группы - шпионаж и получение финансовой выгоды, она использует вредоносное ПО собственной разработки и сложные методы атак. Злоумышленники внедряют вредоносный код в ПО на этапе разработки, а после того, как оно будет установлено в конечной организации, программа начинает сбор информации о ней.
"Группировка атакует страны по всему миру: Россию, США, Японию, Южную Корею, Германию, Монголию, Белоруссию, Индию, Бразилию. Преимущественно нацелена на организации из игровой индустрии, разработки ПО, авиационно-космической промышленности, энергетики, фармацевтики, финансового сектора, телекоммуникаций, строительства, образования и прочие. В число идентифицированных жертв их новой атаки вошли университет в США, аудиторская компания в Голландии, две строительные компании - одна в России, другая в Китае, пять фирм - разработчиков ПО: одна в Германии, четыре в России", - рассказал РИА Новости ведущий специалист отдела исследования угроз ИБ Positive Technologies Денис Кувшинов.
По его словам, под управлением группировки уже более 50 компьютеров по всему миру, карта часовых поясов атакованных устройств совпадает с традиционной географией интересов группировки. "Новая инфраструктура группы Winnti стремительно разрастается: выявлено более 150 IP-адресов контрольных серверов и не менее 147 доменов, связанных с этими адресами. Около половины серверов группировки находятся в Гонконге... Мы отслеживаем активность группы Winnti и не прогнозируем снижения ее активности в ближайшие месяцы. Для сокращения потенциального окна возможностей злоумышленников компаниям необходимо своевременно проверить инфраструктуру на наличие специфических индикаторов компрометации, а в случае из выявления - оперативно провести полноценное расследование", - отметил он.
По словам эксперта, Positive Technologies участвует в обмене данными о компьютерных инцидентах в рамках системы ГосСОПКА, координатором работы которой выступает Национальный координационный центр по компьютерным инцидентам (НКЦКИ, cert.gov.ru). Все скомпрометированные компании получили соответствующие уведомления об имеющихся рисках по линии национальных CERT.
Согласно отчету, резко возросшая активность группы также может быть связана с эпидемией коронавируса. "Многие компании отправили своих сотрудников на удаленную работу, и при этом, по нашим данным, 80% сотрудников используют для работы домашние компьютеры. Получается, что многие работники находятся вне досягаемости корпоративных средств защиты и политик безопасности. Это делает их очень уязвимой мишенью", - отмечается в документе.
