Positive Technologies и «Лаборатория Касперского» выявили группу киберпреступников, занимающуюся политической разведкой и промышленным шпионажем, которая 9 лет производила атаки с целью кражи данных на 24 российские компании и госструктуры.

Известно, что на сегодняшний день скомпрометировано более 30 компаний из сфер промышленности, строительства, энергетики и недвижимости. 24 из них находятся в России. Названия компаний пока засекречены.

В коде инструментов хакеров есть следы китайских разработчиков. Также во время ряда атак были замечены подключения с IP-адресов из Китая. Ключи для используемых программ встречаются на китайских форумах. Для взлома использовался планировщик задач операционной системы, поэтому группу киберпреступников назвали TaskMasters.

Проникая в локальную сеть, хакеры исследовали инфраструктуру, находили уязвимости, заводили вредоносные программы и использовали их для шпионажа, удалённо. Цели получения информации неизвестны.

В «Лаборатории Касперского» отмечают, что, скорее всего, эта же группа хакеров известна под именем BlueTraveler – её целями также являются госструктуры РФ и СНГ, и они так же используют метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач.

Ситуация осложняется тщательным сокрытием следов – гигабайты информации будут украдены прежде чем, техники злоумышленников заметят программы защиты от вирусов или службы безопасности.

Использование планировщика задач уже был испробован преступными группами Cobalt и MoneyTaker, атаковавших банковский сектор.

Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов комментирует ситуацию: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей».

Случай с TaskMasters необычен тем, что используемая утилита является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.