История
2020: Атака на российских разработчиков банковского ПО
7 сентября 2020 года стало известно об атаке китайской хакерской группировки Winnti на российских разработчиков программного обеспечения для банков. О кибернападениях сообщили эксперты ИБ-компании Positive Technologies без указания имен кредитных организаций и производителей софта, которые могли пострадать от действий киберпреступников.
Как пишет «Коммерсантъ», к началу сентября 2020 года наблюдается всплеск активности группировки, всего по всему миру заражено более 50 компьютеров. Среди жертв как минимум пять российских разработчиков банковского ПО и строительная компания.
Как пояснили эксперты, злоумышленники внедряют вредоносный код еще на этапе разработки ПО. Как только оно будет установлено, программа приступает к сбору данных об организации. Затем на устройство загружается полноценный бэкдор, через который происходит кража информации. Такие атаки грозят утечкой данных о счетах, суммах и денежных операциях. Кроме того, через них может осуществляться корпоративный шпионаж.
По словам руководителя направления аналитики и спецпроектов компании InfoWatch Андрея Арсентьева, китайские хакеры могут быть заинтересованы не столько в финансовой прибыли, сколько в корпоративном шпионаже для экспансии на российский рынок.
Winnti сосредоточена на атаках в коммерческом секторе, где уровень ее инструментария существенно выше, чем у большинства группировок, говорит руководитель отдела расследования киберинцидентов JSOC CERT «Ростелекома» Игорь Залевский. По его словам, в последние годы была замечена активность группировки и в госорганизациях.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Согласно отчету Positive Technologies, резко возросшая активность группы также может быть связана с пандемией коронавируса. Многие компании отправили своих сотрудников на удаленную работу, и при этом, по оценкам экспертов, 80% сотрудников используют для работы домашние компьютеры. Получается, что многие работники находятся вне досягаемости корпоративных средств защиты и политик безопасности. Это делает их очень уязвимой мишенью, пояснили в Positive Technologies.[1]