Хакеров TA505 назвали самой опасной группировкой. Но их существование под сомнением

Действующих в 64 странах мира хакеров из группы TA505 можно считать одними из самых опасных киберпреступников за последние полгода. Такого мнения придерживаются эксперты специализирующейся на софте для обеспечения информационной безопасности компании Positive Technologies. В последнее время, помимо краж денег, группа обратила внимание на интеллектуальную собственность, которую можно монетизировать. Хотя на российском рынке их атаки сейчас не фиксируют.

«По совокупности признаков — частоте атак, географическому охвату, разнообразию целей, сложности инструментария — группу TA505 можно назвать наиболее опасной в последние полгода», — приводит РИА «Новости» слова директора экспертного центра Positive Technologies Алексея Новикова.

При этом группа использует такую же сетевую инфраструктуру, что и атакующие российский рынок хакеры из Buhtrap. В связи с этим эксперты предположили, что этими группировками управляют одни и те же люди.

TA505

В беседе с «360» Новиков пояснил, что группа, по данным некоторых экспертов с российскими корнями, начала проявлять активность в 2014 году. Ее целями стали крупнейшие финансовые, производственные и транспортные компании, государственные структуры из Великобритании, Канады, США, Южной Кореи и десятков других стран.

Для проникновения в сети компаний-жертв группа использует фишинговые письма и постоянно совершенствует свой инструментарий. По данным различных источников, уточнил Новиков, ежегодные финансовые потери от ее действий превышают 40 миллионов долларов.

«С 2014 года в их арсенале числятся банковский троян Dridex, ботнет Neutrino, а также несколько семейств шифровальщиков — Locky, Jaff, GlobeImposter и другие. С весны 2018 года группа использует Remote Access Trojan — FlawedAmmyy, а с конца прошлого года применяет новый бэкдор ServHelper», — добавил эксперт.

Buhtrap

Группа Buhtrap, отметил Новиков, впервые засветилась в том же 2014 году. Рост ее активности начался в третьем квартале 2018-го и до сих пор продолжается. Ежегодно хакеры похищают порядка 200 миллионов рублей в год со счетов компаний финансового сектора. В их послужном списке несколько десятков успешных атак на российские банки.

Для атаки Buhtrap использует фишинговые рассылки и метод watering hole. В этом случае киберзлоумышленники используют сайты — иногда даже новостные ресурсы — как платформы для размещения вредоносного программного обеспечения. Жертва посещает их, и в ее компьютер проникает троян.

«С 2019 года группировка начала использовать уязвимости нулевого дня, а также расширила сферу своих интересов с сугубо финансовых до кибершпионажа», — уточнил эксперт.

Придумать хакера

В беседе с «360» хакер Александр Варской скептически отнесся к этой информации. Эксперт выразил удивление, узнав, что хакерская группа может вступать в предварительный сговор с другой группой, то есть, по сути, создавать «ОПГ с элементами знания мошенничества и электронных транзакций». Особенно учитывая, что речь идет не о хакерах, а о каперах — тех, кто крадет деньги.

Обычно, пояснил Варской, хакерские группы не выбирают себе никаких названий. Тем не менее в СМИ мелькают наименования «из научных фэнтези 60-80-х годов» типа R2D2 или К505. А хакерами в публикациях называют тех, кто не имеет к этой сфере отношения, а занимаются «банковско-кардовскими делами».

«У меня вопрос: почему они должны как то себя называть? Откуда у них названия берутся? А если им присвоили название, нельзя ли сказать, что их придумали? Я смею такое предположить. Как вероятность встретить динозавра: 50%, что да, 50%, что нет», — сказал он.

Эксперт не исключил, что некоторых «опасных хакеров» придумывают разработчики соответствующего софта, чтобы продавать свои продукты. С другой стороны, добавил Варской, группы TA505 и Buhtrap могут существовать. И даже использовать одну и ту же сетевую инфраструктуру.