17.12.2020 Новости, БезопасностьПо сообщению компании «Информзащита», специалисты ее центра обнаружения и противодействия киберугрозам IZ:SOC засекли хакерскую атаку, проводимую предположительно китайской группировкой Winnti, которая действует с 2012 г. Основные жертвы группы Winnti – организации ВПК, аэрокосмической отрасли, правительственные организации, разработчики ПО. Winnti ранее неоднократно взламывала промышленные и высокотехнологичные компании из Тайваня и Европы, но теперь, считают специалисты, решила переключиться на российские компании. Анализируя действия и применяемый функционал злоумышленников, эксперты по киберпреступлениям «Информзащиты» делают вывод, что это попытка промышленного шпионажа. Первые шаги разведки были зафиксированы в начале декабря. Все это время действия атакующих находились под контролем, несмотря на то что в течение всей атаки специалисты наблюдали не только работу вредоносного ПО, но и действия атакующих, проводимые «руками», в онлайн-режиме. Это представляло особую сложность, так как, например, способы сокрытия своего присутствия атакующие меняли на лету. Эксперты изучили техники, тактики группы и применяемые методы. В состав используемого злоумышленниками инструментария входили средства для сбора информации, средства удаленного управления, многофункциональный бекдор семества Bisonal, утилиты для сканирования сети на предмет наличия уязвимости CVE-2017-0144 (MS17-010), утилиты из набора Impacket, программы для перенаправления сетевого трафика и ...
читать далее.