erid: LjN8Kb1hQ
ГК
«Солар»: иностранная хакерская группировка шпионила за российским ведомством
Эксперты центра
исследования киберугроз Solar
4RAYS
ГК «Солар» (дочерняя компания «Ростелекома»,
работающая в сфере информационной
безопасности) обнаружили иностранных
хакеров в инфраструктуре одного из
органов исполнительной власти.
Злоумышленники использовали сложно
закамуфлированное самописное ПО для
шпионажа, а для его удаленного управления
– скомпрометированные серверы организаций
в разных странах. Группировка существует
как минимум три года, но данных для
точной ее аттрибуции пока недостаточно,
поэтому кластер этой активности временно
назван NGC2180. К настоящему моменту все
обнаруженное вредоносное ПО обезврежено,
затронутые системы вернулись в работу.
В
конце 2023 года специалисты Solar 4RAYS проводили
комплексный анализ инфраструктуры
одного из российских ведомств, оперирующих
критичными данными. В ходе работ на
одном из компьютеров были найдены
признаки взлома. Более глубокое
исследование обнаружило в ведомственной
сети несколько образцов многоступенчатого
вредносного ПО (ВПО), названного экспертами
DFKRAT. На финальной стадии развития атаки
вредонос разворачивает имплант,
предоставляющий злоумышленнику широкие
возможности манипуляций в атакуемой
системе (от хищения пользовательских
данных до загрузки дополнительного
ВПО).
Обнаруженная
версия вредоноса ранее нигде не
встречалась. Зато в публичном пространстве
удалось найти предыдущие его варианты
и проследить их эволюцию, начиная с 2021
года. С каждой новой версией ВПО
становилось более сложным. В частности,
в последнем экземпляре злоумышленники
использовали технику DLL Side-Loading (размещение
вредоносного кода в папке с легитимной
программой) и отказались от поэтапной
передачи команд с сервера управления
на целевую систему. Такие действия
разработчиков ВПО говорят о попытках
скрыть вредоносную активность от средств
защиты на конечном хосте.
Один
из найденных образцов предыдущей версии
ВПО доставлялся на компьютер жертвы с
помощью фишингового письма, начиненного
загрузчиком. В последней атаке вектор
заражения остался неизвестным.
«Нам
удалось найти и проанализировать
фрагмент кода управляющего сервера.
Файл был загружен на один публичный
сервис под именем config.jsp с IP-адреса
Саудовской Аравии. Анализ сетевой
инфраструктуры показал, что, вероятно,
это была промежуточная жертва, сервер
которой скомпрометировали для размещения
на нем управляющего центра (С2). В
актуальной версии импланта для координации
его работы использовался взломанный
компонент сервера Института нанонауки
и нанотехнологий Национального центра
научных исследований «Демокрит» в
Греции», — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.
Активность
NGC2180 на протяжении минимум последних
трех лет говорит о высокой организованности
кибергруппировки. А компрометация
легитимных серверов для развертывания
инфраструктуры С2, а также нацеленность
NGC2180 на значимые государственные
структуры указывают на системный подход
и возможную политическую мотивацию
группы.
«На
основании анализа фрагмента управляющего
сервера мы полагаем, что в дикой природе
существует еще больше образцов,
относящихся к описанному кластеру.
Архитектура ВПО качественно перерабатывалась
хакерами от атаки к атаке: методы
удаленного управления, доставки и
развертывания совершенствовалась –
неизменным оставалось только ядро
самого импланта. Все это говорит о том,
что за этими атаками стоит хорошо
организованная группа, располагающая
большим запасом ресурсов, которые, как
мы знаем из других публичных исследований,
часто выделяются при поддержке
государства. В будущем мы ожидаем больше
атак от NGC2180, поэтому призываем
ИБ-сообщество воспользоваться
индикаторами, приведенными в нашем
исследовании, для выявления следов
присутствия данной группировки», — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.
Реклама. ПАО «Ростелеком»
Ну, да. Хорошо расписано. Здесь же сидят только программисты безопасники ;-)))