Как пишет "Коммерсант", группа под названием TaskMasters, которую аналитики связывают с Китаем, действует как минимум девять лет. В Positive Technologies установили, что хакеры за это время успешно атаковали свыше 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и т.д. 24 предприятия из этого списка находятся в России, но их названия аналитики из Positive Technologies не раскрывают.
На китайское происхождение хакеров указывают несколько деталей. Так, в коде используемых злоумышленниками инструментов встречаются упоминания китайских разработчиков, а во время некоторых атак были зафиксированы подключения с IP-адресов из Китая.
Что же касается методов, которые в TaskMasters используют для кибератак, то он связан с названием, присвоенным группе экспертами. Хакеры создают особые задания в планировщике задач, который позволяет выполнять команды ОС и запускать софт в определенный момент времени. По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, после проникновения во внутреннюю атакуемой организации злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа.
В компании "Лаборатория Касперского" рассказали "Коммерсанту", что также знают об этой группировке (в компании ее называют BlueTraveler) и отслеживают ее активность с 2016 года. Целями атак хакеров в "Лаборатории Касперского" назвали госструктуры, преимущественно из России и СНГ, подтвердив, что члены группы, скорее всего, говорят на китайском языке. В компании также отметили, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками – атаки такого типа применяются в политической разведке или для промышленного шпионажа.
По словам эксперта по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктора Сергеева, необычность ситуации с TaskMasters заключается в использовании конкретной утилиты, которая хотя и является легитимной, но не входит в стандартный состав программного обеспечения, используемый на большинстве узлов инфраструктуры.