Image by Freepik
Иностранная хакерская группировка внедрилась в инфраструктуру одного из российских органов исполнительной власти. Эксперты центра исследования киберугроз Solar 4RAYS ГК "Солар" заметили вредоносное ПО и обезвредили. Обнаруженное ВПО ранее нигде не встречалось.
Алексей
Миколенко
© ComNews
07.03.2024

Вчера, 6 марта, ГК "Солар" сообщила, что злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления - скомпрометированные серверы организаций в разных странах.

Эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК "Солар" Дмитрий Маричев рассказал журналисту ComNews, что в конце 2023 г. один из органов исполнительной власти, какой конкретно - он не сообщил, пригласил экспертную группу Solar 4RAYS провести комплексный анализ инфраструктуры (Compromise Assessment).

"Обнаруженная ВПО ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию с 2021 г.", - сообщает ГК "Солар".

"Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований "Демокрит" в Греции", - отметил начальник отдела анализа угроз центра Solar 4RAYS ГК "Солар" Алексей Фирш.

Из проведенного исследования Solar 4RAYS стало ясно, что кроме наличия серьезных технических и материальных ресурсов, группировка NGC2180 активно разрабатывает и применяет инструменты как минимум с 2021 г. Дмитрий Маричев считает, что если сотрудники информационной безопасности обнаружили атаку только в 2023 г., то это свидетельствует о профессионализме хакеров из NGC2180. "Solar 4RAYS не располагает данными, какие конкретно организации были атакованы этой хакерской группировкой в прошлом, но судя по используемым фишинговым документам, это русскоязычные цели", - поделился с журналистом ComNews Дмитрий Маричев.

"История про три года - это следы активности группы, которые эксперты обнаружили в ходе исследования публичного киберпространства. Какие именно организации были атакованы ранее, мы сказать не можем. Но это точно русскоязычные цели. Судя по нашему исследованию, злоумышленники осуществляли шпионскую деятельность: похищали данные с зараженных систем, файлы, документы и т.д. Их не интересовала деструктивная составляющая атаки, только шпионаж", - ответил Дмитрий Маричев.

Дмитрий Маричев рассказал журналисту ComNews, что было несколько версий этого ВПО и что в разных случаях использовались отличающиеся друг от друга серверы в качестве управляющих. "Скорее всего, не стоит искать между ними связь. Очевидно, что хакеры использовали серверы, которые удалось скомпрометировать", - сказал Дмитрий Маричев и отметил, что оценить причиненный ущерб инфраструктуре крайне сложно.

Эксперт группы анализа вредоносного программного обеспечения сообщил, что обнаруженные и исследованные инструменты и техники злоумышленников направлены на скрытый шпионаж. В сферу интересов таких группировок, как NGC2180, не входит уничтожение или нарушение работы атакованной инфраструктуры. Дмитрий Маричев считает, что деструктивные действия легко детектируются средствами защиты, работниками и службой безопасности, что идет вразрез с целями атакующих, поэтому в обычном понимании режим работы организации нарушен не был. В таких случаях Solar 4RAYS выдает рекомендации и консультации по обезвреживанию рабочих станций и серверов по всей инфраструктуре заказчика.

Генеральный директор iTPROTECT Андрей Мишуков считает, что принадлежность группировки NGC2180, которая вела шпионаж с помощью ВПО, к какой-то одной стране или к совокупности стран определить сложно.

Денис Кувшинов, руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies, предполагает, что если в одном ведомстве обнаружили определенное ВПО, то есть большая вероятность, что в других ведомствах будут найдены похожие программы, поскольку злоумышленники часто проводят комплексные шпионские кампании на организации. Эксперты Positive Technologies считают, что в ВПО, о котором сообщил Solar 4RAYS, присутствуют элементы кода, напоминающие почерк азиатских APT-группировок (APT - advanced persistent threat - постоянная серьезная угроза).

Андрей Мишуков полагает, что закрепиться в государственной инфраструктуре вредоносному ПО в настоящее время крайне сложно. Именно поэтому злоумышленники и использовали самописное многоуровневое ПО, которого нет в антивирусных базах. Андрей Мишуков также говорит, что злоумышленникам требуется выстраивать многоуровневую систему проникновения и закрепления, если канала связи внутренней сети ведомства с интернетом не существует. "Это сложный и затратный процесс, который доступен немногим группам. Среди них вполне могут быть и иностранные технические разведки, так как они обладают большим финансированием", - пояснил Андрей Мишуков.

Денис Кувшинов прокомментировал: "Если в одном ведомстве обнаружили определенное ВПО, то есть большая вероятность, что в других ведомствах будут найдены похожие программы, поскольку злоумышленники часто проводят комплексные шпионские кампании на организации. Со своей стороны мы видим, что в данном вредоносном ПО присутствуют элементы кода, которые напоминают почерк азиатских APT-группировок".

Независимый эксперт по рынкам ИТ и телеком Вадим Плесский считает, что если разработчики пишут программное обеспечение в соответствии с современными методиками и при этом проводят тестирование - то взломать ПО достаточно сложно. "Как правило, хакеры взламывают устаревшее ПО, которое выпущено много лет назад и к которому не установлены патчи, связанные с безопасностью. Например, если компания установила фреймворк WordPress, который находится в публичном доступе, написанный на PHP, то с большой вероятностью она будет уязвима. Чтобы этого не произошло - надо использовать фреймворки и ПО, в которых маловероятно наличие уязвимостей и которые прошли соответствующее тестирование", - поделился с журналистом ComNews Вадим Плесский.

https://www.comnews.ru/content/214548/2021-05-19/2021-w20/scenariyu-boe…

Независимый эксперт добавил, что если в компании используется доменная аутентификация и смарт-карты, то можно определить, какой пользователь использовал компьютер в каждый конкретный момент времени. Вадим Плесский пояснил, что в корпоративных системах ведутся логи действий (пользователей) и по этим логам можно определить, когда и каким образом произведено проникновение.

https://www.comnews.ru/content/231574/2024-02-14/2024-w07/1018/positive…

Новости из связанных рубрик