В РФ заявили о масштабной атаке китайских хакеров на технологические компании

В России заявили о масштабной кибератаке китайской группировки APT31 на технологические компании страны. 

Согласно отчету российской компании по кибербезопасности Positive Technologies, связанная с Китаем хакерская группа на протяжении многих лет внедрялась в российский технологический сектор и тайно похищала данные из компаний, работающих с государственными контрактами и системной интеграцией. 

Об этом пишет GuildHall со ссылкой на The Record.

По информации Positive Technologies, кампания, начавшаяся в 2025 году, была тщательно спланирована и позволила злоумышленникам оставаться незамеченными.

Сообщается, что публичные сообщения о кибератаках Китая на Россию редки, так как обе страны рассматриваются как стратегические партнеры. В октябре американская компания Symantec приписала шпионскую атаку на неназванного российского поставщика IT-услуг другой китайской группировке Jewelbug.

Отчет Positive Technologies отражает данные компании, близкой к российскому правительству. В 2021 году она попала под санкции США за предполагаемое предоставление IT-поддержки российским гражданским и военным разведывательным службам. Ранее, в августе 2024 года, «Лаборатория Касперского» сообщала о десятках атак на российские государственные агентства и технологические компании с использованием инструментов APT31 и APT27.

По данным исследования, хакеры использовали как общедоступные инструменты, так и собственное вредоносное ПО. Для маскировки действий злоумышленники перенаправляли команды через профили в популярных социальных сетях и веб-платформах, что позволяло трафику казаться легитимным. Ключевые этапы операции приурочивались к выходным и праздничным дням, включая масштабные вторжения во время новогодних праздников, когда инфраструктура оставалась доступной, а персонала было минимальное количество.

В одном из случаев хакеры сохраняли доступ к системам российской IT-компании с конца 2022 года и возобновили активность во время новогодних праздников 2023 года. В другом инциденте в декабре 2024 года использовалось фишинговое письмо с поддельным запросом на закупку, внедряющее вредоносное ПО на компьютеры жертв. Украденные данные передавались через Яндекс.Облако, российский облачный сервис.

APT31, также известная как «Цирконий» или «Панда правосудия», неоднократно связывалась западными правительствами с финансируемой государством шпионской деятельностью Китая.