Хакерские группировки

Впервые группировка Space Pirates была замечена специалистами PT Expert Security Center в конце 2019 года в ходе работ по обнаружению киберугроз. Активна как минимум с 2017 года. Основными целями злоумышленников являются шпионаж и кража конфиденциальной информации. Группировка активно атакует различные отрасли в России. Помимо этого, были обнаружены жертвы в Грузии, Узбекистане, Монголии, Китае и Сербии.

Во втором квартале 2021 года Экспертный центр безопасности Positive Techologiеs (PTESC) обнаружил деятельность неизвестной ранее группы. Группа была названа ChamelGang (от Chameleon) за умение эффективно маскировать свою деятельность и обходить средства защиты. Жертвы данной группы находятся по всему миру в том числе и в России, где группа скомпрометировала энергетическую компанию и компанию из авиационно-промышленного сектора.

OceanLotus · APT-C-00 · Cobalt Kitty · SeaLotus · Ocean Buffalo · Tin Woodlawn · SectorF01 · Pond Loach

Кибершпионская группа APT32 активна как минимум с 2012 года. Нацелена на правительственные, общественные и торговые организации стран Восточной и Юго-Восточной Азии. Имеет разносторонний, постоянно меняющийся инструментарий.

Judgment Panda · Zirconium · APT 31 · TEMP.Avengers · Bronze Vinewood

APT31 — группа, известная с 2016 года; ей приписывают атаки на организации Франции, США, правительства Норвегии, Финляндии, Германии.

HIDDEN COBRA · ZINC · Guardians of Peace · Group 77 · Office 91 · Red Dot · Temp.Hermit · Nickel Academy · Labyrinth Chollima · Bureau 121 · Unit 121 · APT-C-26 · Hastati Group · Whois Team · ATK 3 · T-APT-15 · NewRomanic Cyber Army Team · Appleworm · SectorA01 · ITG03

Lazarus — APT-группа, которую исследователи связывают с правительством Северной Кореи. Наиболее известна по шифровальщику WannaCry, от которого пострадали более 150 стран, и взлому Sony Pictures. Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок.

LuckyMouse · Emissary Panda · APT27 · Iron Tiger · TG-3390 · TEMP.Hippo · Group 35 · ZipToken

Bronze Union — APT-группировка, активная как минимум с 2010 года. По мнению различных исследователей, имеет китайское происхождение. Широко использует для начального проникновения техники «атаки на водопой» (watering hole), в частности заражение веб-сайтов, посещаемых жертвами, а также фишинг и уязвимости сетевых сервисов. Группа специализируется на кибершпионаже, преимущественно в сетях государственных учреждений, оборонных предприятий и политических организаций. В 2020 году некоторые исследователи (включая специалистов PT Expert Secutity Center) предположили появление у группы финансовой мотивации.

Кибершпионская группа Higaisa активна как минимум с 2009 года. Нацелена на государственные, общественные и торговые организации в Северной Корее. В списке атакованных стран также Китай, Польша, Россия, Япония.

APT41 · AXIOM · BARIUM · LEAD · BlackFly

Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы – это шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из собственно разработанного ВПО. Winnti использует сложные методы атак в числе которых supply-chain и watering hole. Группа точно знает кто их жертва, она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Белоруссию, Бразилию, Германию, Индию, Монголию, Россию, США, Южную Корею, Японию и др.

Cycldek · Hellsing · Conimes

Goblin Panda впервые обнаружена в 2013 году исследователями из CrowdStrike и считается группой, действующей в интересах Китая. Группа сосредоточена на шпионаже и имеет в своем арсенале ВПО способное коммуницировать в закрытых сетях. В результате анализа ВПО было выявлено, что группа имеет пересечения с инструментами группы Calypso.

Впервые активность группы Calypso была выявлена специалистами PT Expert Security Center в марте 2019 года, в ходе работ по обнаружению киберугроз. Группа активна как минимум с сентября 2016 года. Основной целью группы является кража конфиденциальных данных, основные жертвы — государственные учреждения Бразилии, Индии, Казахстана, России, Таиланда, Турции.