Новости IT

erid: LjN8Kb1hQ


ГК
«Солар»: иностранная хакерская группировка шпионила за российским ведомством

Эксперты центра
исследования киберугроз Solar
4RAYS
ГК «Солар» (дочерняя компания «Ростелекома»,
работающая в сфере информационной
безопасности) обнаружили иностранных
хакеров в инфраструктуре одного из
органов исполнительной власти.
Злоумышленники использовали сложно
закамуфлированное самописное ПО для
шпионажа, а для его удаленного управления
– скомпрометированные серверы организаций
в разных странах. Группировка существует
как минимум три года, но данных для
точной ее аттрибуции пока недостаточно,
поэтому кластер этой активности временно
назван NGC2180. К настоящему моменту все
обнаруженное вредоносное ПО обезврежено,
затронутые системы вернулись в работу.

    В
конце 2023 года специалисты Solar 4RAYS проводили
комплексный анализ инфраструктуры
одного из российских ведомств, оперирующих
критичными данными. В ходе работ на
одном из компьютеров были найдены
признаки взлома.  Более глубокое
исследование обнаружило в ведомственной
сети несколько образцов многоступенчатого
вредносного ПО (ВПО), названного экспертами
DFKRAT. На финальной стадии развития атаки
вредонос разворачивает имплант,
предоставляющий злоумышленнику широкие
возможности манипуляций в атакуемой
системе (от хищения пользовательских
данных до загрузки дополнительного
ВПО).
    Обнаруженная
версия вредоноса ранее нигде не
встречалась. Зато в публичном пространстве
удалось найти предыдущие его варианты
и проследить их эволюцию, начиная с 2021
года. С каждой новой версией ВПО
становилось более сложным. В частности,
в последнем экземпляре злоумышленники
использовали технику DLL Side-Loading (размещение
вредоносного кода в папке с легитимной
программой) и отказались от поэтапной
передачи команд с сервера управления
на целевую систему. Такие действия
разработчиков ВПО говорят о попытках
скрыть вредоносную активность от средств
защиты на конечном хосте.
    Один
из найденных образцов предыдущей версии
ВПО доставлялся на компьютер жертвы с
помощью фишингового письма, начиненного
загрузчиком. В последней атаке вектор
заражения остался неизвестным.
    «Нам
удалось найти и проанализировать
фрагмент кода управляющего сервера.
Файл был загружен на один публичный
сервис под именем config.jsp с IP-адреса
Саудовской Аравии. Анализ сетевой
инфраструктуры показал, что, вероятно,
это была промежуточная жертва, сервер
которой скомпрометировали для размещения
на нем управляющего центра (С2). В
актуальной версии импланта для координации
его работы использовался взломанный
компонент сервера Института нанонауки
и нанотехнологий Национального центра
научных исследований «Демокрит» в
Греции»,     — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.
    Активность
NGC2180 на протяжении минимум последних
трех лет говорит о высокой организованности
кибергруппировки. А компрометация
легитимных серверов для развертывания
инфраструктуры С2, а также нацеленность
NGC2180 на значимые государственные
структуры указывают на системный подход
и возможную политическую мотивацию
группы.
    «На
основании анализа фрагмента управляющего
сервера мы полагаем, что в дикой природе
существует еще больше образцов,
относящихся к описанному кластеру.
Архитектура ВПО качественно перерабатывалась
хакерами от атаки к атаке: методы
удаленного управления, доставки и
развертывания совершенствовалась –
неизменным оставалось только ядро
самого импланта. Все это говорит о том,
что за этими атаками стоит хорошо
организованная группа, располагающая
большим запасом ресурсов, которые, как
мы знаем из других публичных исследований,
часто выделяются при поддержке
государства. В будущем мы ожидаем больше
атак от NGC2180, поэтому призываем
ИБ-сообщество воспользоваться
индикаторами, приведенными в нашем
исследовании, для выявления следов
присутствия данной группировки»,    — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.
    Реклама. ПАО «Ростелеком»

Ну, да. Хорошо расписано. Здесь же сидят только программисты безопасники ;-)))

Мож попутали кабинет с лекцией?

--------------------

Всем добра!

Ну, да. Хорошо расписано. Здесь же сидят только программисты безопасники ;-)))

Мож попутали кабинет с лекцией?

Если бы лекции... Это больше похоже на буклетик с рекламкой для менеджеров. Вот вам перевод: В одном черном-черном городе, на одной черной-черной улице... сидел хакер, хотите верьте, хотите нет, но защиту у нас лучше вам купить )

Писец! Сколько букав! Че не на бесике или фортране статью написали может понятнее было бы

Там главное в конце.
"Реклама. ПАО «Ростелеком»"

сдается, что ростелекому надо как-то пилить бюджетное бабло для чего и всякие конторы типа упомянутой Солар, потому что если бы даже не было этого вредоносного ПО, его бы надо было придумать, дабы оправдать свое существование

--------------------

И если вокруг одно лихо, и привычное нам слишком тонко,
Люби всех нас, Господи, тихо. Люби всех нас, Господи, громко.

сдается, что ростелекому надо как-то  пилить бюджетное бабло для чего и всякие конторы типа упомянутой Солар, потому что если бы даже не было этого вредоносного ПО, его бы надо было придумать, дабы оправдать свое существование

Вредоносное ПО больше как что, как враг или как "друг"? И так и эдак, для кого-то выгода очевидна в обоих случаях.