Positive Technologies и «Лаборатория Касперского» обнаружили кибергруппировку с предположительно китайскими корнями, которая за несколько лет атаковала с целью кражи информации более 20 российских компаний и госструктур.
Группа действует как минимум девять лет, всего компании известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия пострадавших организаций не раскрывают, пишет «Коммерсант». В коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.
Как объяснили эксперты, злоумышленники создавали специфические задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. После проникновения в локальную сеть мошенники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа.
