Группировка Winnti атакует создателей софта для банков
Китайские хакеры вложились в разработку
В России зафиксированы атаки китайской группировки Winnti на разработчиков банковского программного обеспечения (ПО), а также компании строительного сектора. Внедрение вредоносного кода в программу на этапе разработки потенциально позволяет впоследствии получить доступ к банковским данным. На разработчиков софта и системных интеграторов приходится примерно треть всех целевых атак в России в последние годы.
Китайская хакерская группировка Winnti атакует российских разработчиков банковского ПО, в том числе работающих с банками из топ-100 самых надежных по версии Forbes в 2020 году, рассказали “Ъ” в Positive Technologies. Названия банков и разработчиков там не раскрывают. Сейчас наблюдается всплеск активности группировки, всего заражено более 50 компьютеров по всему миру, оценивают в компании. Часть жертв удалось идентифицировать: среди них как минимум пять российских разработчиков банковского ПО и строительная компания.
Злоумышленники внедряют вредоносный код на этапе разработки ПО, а после того как готовое оно будет установлено, например, в банке, программа начинает сбор информации об организации, поясняет ведущий специалист отдела исследования угроз информбезопасности Positive Technologies Денис Кувшинов. После этого на зараженную машину будет загружен полноценный бэкдор для исследования сети и кражи необходимых данных, отмечает он.
В Positive Technologies отмечают, что это нехарактерная для группировки цель атак в России. Winnti ранее неоднократно через атаки на цепочку поставок ПО взламывала промышленные и высокотехнологичные компании из Тайваня и Европы, но, судя по всему, решила переключиться на российские компании, подтверждает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Winnti сосредоточена на атаках в коммерческом секторе, где уровень ее инструментария существенно выше, чем у большинства группировок, говорит руководитель отдела расследования киберинцидентов JSOC CERT «Ростелекома» Игорь Залевский, добавляя, что в последние годы была замечена активность группировки и в госорганизациях.
Атаки на разработчиков ПО для финансовых организаций могут повлечь за собой либо манипуляции с информацией о счетах, суммах и трансакциях, либо заражение третьей стороны, использующей это ПО, полагает Игорь Залевский. Финансовая сфера отличается очень сложной цепочкой поставок ПО, что связано с большим количеством информационных систем, разветвленной филиальной сетью и другими факторами, поэтому Winnti может быть нацелена не только на получение прямой финансовой выгоды, но и на корпоративный шпионаж, полагает Андрей Арсентьев. В строительной же сфере России китайских хакеров также могут интересовать коммерческие секреты, что может быть связано с тем, что китайские компании планируют экспансию на российский рынок и заранее стараются изучить стратегии потенциальных конкурентов, добавляет он.
По оценке заместителя директора Национального координационного центра по компьютерным инцидентам Николая Мурашова, на организации, занимающиеся разработкой ПО и системной интеграцией, приходится примерно треть всех целевых атак на территории России в последние годы. Атаки на разработчиков любого софта, как правило, связаны с наличием недекларированных возможностей в его функционале, которые закладываются на этапе создания исходных кодов, указывает Игорь Залевский. Такие атаки компрометируют доверенные каналы связи, из-за чего их сложнее обнаружить, добавляет ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
Атаки конкретно на разработчиков софта для банков — это «очень изощренный подход», открывающий поистине безграничные возможности для последующих атак, полагает технический директор Trend Micro Михаил Кондрашин. Появление подобных атак, по его словам, фактически меняет правила информационной безопасности в области разработки: она перестает сводиться только к разработке безопасного кода, на передний план выходит защита самих инфраструктур.