Специалисты Group-IB Threat Intelligence раскрыли подробности кибератак на ведущие российские IT-компании летом 2022 года и собрали технические доказательства связи выявленной кибератаки с прогосударственной группой Tonto Team, которую многие исследователи относят к Китаю.
Вам письмо из Поднебесной
20 июня 2022 года система Group-IB Managed XDR, способная обнаруживать и останавливать сложные киберугрозы, выдала оповещение о блокировке вредоносных писем, которые пришли двум сотрудникам компании. Кроме Group-IB, в получателях значились несколько десятков ведущих IT и ИБ-компаний — все цели находились в России (согласно действующему протоколу они были уведомлены об угрозе), рассказали Forbes в Group-IB, не конкретизируя, кто находился в числе адресатов этой рассылки.
«Мы оповестили об угрозе по почте и добавили сообщение об атаке в систему Group-IB Threat Intelligence («Киберразведка по подписке»), там это оповещение могли увидеть все наши клиенты, — сообщили в Group-IB. — Часть нам ответила, что уже увидела тоже эту рассылку, и поблагодарила, часть мы оповестили через систему». По словам источника Forbes, знакомого с деталями атаки, в этом списке были «телеком-операторы, разработчики ПО, вендоры, один известный поисковик». Впрочем, на то, что злоумышленникам удалось добиться успеха в каком-то из случаев, ничто не указывает. В VK, МТС, «Мегафоне», «Вымпелкоме» отказались от комментариев, в Tele2 и «Ростелекоме» на запрос Forbes не ответили. «Мы не фиксировали атак на наши сервисы», — сообщили Forbes в «Яндексе».
Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange). Однако сама переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры. По данным Group-IB, проведя свое расследование, специалисты компании получили несколько доказательств причастности к этой атаке китайской прогосударственной группы Tonto Team (известной также под другими названиями — HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut).
Так, хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer — этот инструмент уже давно активно используется китайскими прогосударственными группами. Кроме того, эксперты обнаружили бэкдор Bisonal.DoubleT — этот инструмент является уникальной разработкой китайской прогосударственной группы Tonto Team и используется хакерами как минимум с 2019 года, объясняют в Group-IB.
Tonto Team известна с 2009 года своей нацеленностью на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании. Группа изначально работала исключительно по Южной Корее, Японии, Тайваню и США, но к 2020 году среди ее целей оказались страны и Восточной Европы. Tonto Team не раз проявляла интерес к сектору информационных технологий: например, в марте 2021 года группа взломала почтовые серверы закупочной и консалтинговой компаний, специализирующихся на разработке ПО и кибербезопасности и базирующихся в Восточной Европе.
Ворваться в цепь
Судя по всему, эти IT- и ИБ-компании использовались как звено в атаке класса supply chain, то есть атаке через подрядчика, говорит руководитель МТС SOC Андрей Дугин. Особенность supply chain в том, объясняет он, что подрядчики защищены в гораздо меньшей степени, чем целевые компании, и хакеры пытаются их использовать как черный ход для доступа в инфраструктуру конечной жертвы. В этом случае хакеры взламывают компанию, чтобы воспользоваться ее доступом в инфраструктуру клиентов — государственных органов и корпораций. «Кроме того, у IT- и ИБ-компаний обычно есть важная информация даже о тех организациях, с которыми они в данный момент не работают. Это могут быть результаты проведенного пентеста (тест на проникновение в систему), информация о найденных у заказчика уязвимостях или данные об инфраструктуре компании, полученные в ходе пилотного проекта, — рассуждает Дугин. — И наконец, если речь идет о разработчике ПО, хакеры могут попытаться взломать систему обновлений, чтобы с очередным релизом или патчем клиент получил вредоносное ПО, а группировка — точку присутствия в инфраструктуре жертвы».
Показательным примером атак supply chain является кибератака группировки Dark Halo на американского разработчика ПО SolarWinds в 2020 году. Скомпрометированная инфраструктура вендора открывает широкие возможности для атакующих продвинуться дальше по сети и получить доступ к огромному пулу его клиентов и партнеров. Таким образом, компрометация SolarWind поставила под удар ее клиентов: Microsoft, Cisco, FireEye, Nvidia, Intel, Mimecast и еще 18 000 других компаний.
Взлом подрядных организаций с целью получения доступов к инфраструктурам третьих компаний — один из устойчивых трендов в мире хакерских атак, который развивается уже больше трех лет, рассуждает руководитель центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» Игорь Залевский. «Ничего удивительного, что группировки, которым специалисты приписывают китайский след, также прибегают к подобной тактике. Специалисты JSOC CERT за последние два года расследовали около пяти крупных инцидентов, в которых различные китайские хакерские группировки взламывали IT-подрядчиков государственных и коммерческих организаций», — говорит Залевский, добавляя, что, помимо Tonto Team, за атаками стояли такие группировки, как APT 15, APT 31 и APT 41. В целом все применяют в своих атаках фишинговые письма, в том числе и с использованием готового инструментария Roayl Road Weaponizer (генерирует вредоносный офисный документ), говорит эксперт. Сложные целенаправленные атаки, атрибутирумые к Китаю, в том числе и к прогосударственным группировкам, фиксировались задолго до начала 2022 года, замечает Андрей Дугин. «Поэтому однозначно говорить о том, что это как-то связано с текущими событиями в геополитике, нельзя», — отмечает он.
IT-компании остаются одной из самых привлекательных мишеней для кибератак, констатируют эксперты. Число атак на IT-компании в 2022 году несколько уменьшилось по сравнению с 2021 годом, однако на них все еще приходится 6% атак на организации, приводятся слова аналитика исследовательской группы отдела аналитики ИБ Positive Technologies Федора Чунижекова в отчете компании «Кибербезопасность 2022-2023. Тренды и прогнозы». Громким инцидентом прошлого года стала атака на компанию Okta, которая разрабатывает решения для управления учетными записями и доступом, в том числе для многофакторной аутентификации. Злоумышленников интересовали клиенты компании (атака затронула около 2,5% клиентов), сама Okta была взломана в результате компрометации своего подрядчика, говорит Чунижеков.