ГК "Солар": иностранная хакерская группировка шпионила за российским ведомством

Эксперты центра исследования киберугроз Solar 4RAYS ГК "Солар" (дочерняя компания "Ростелекома", работающая в сфере информационной безопасности) обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления - скомпрометированные серверы организаций в разных странах. Группировка существует как минимум три года, но данных для точной ее атрибуции пока недостаточно, поэтому кластер этой активности временно назван NGC2180. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.

Фото:

В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома.  Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику широкие возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).

Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию с 2021 года. С каждой новой версией ВПО становилось более сложным. В частности, в последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой) и отказались от поэтапной передачи команд с сервера управления на целевую систему. Такие действия разработчиков ВПО говорят о попытках скрыть вредоносную активность от средств защиты на конечном хосте.

Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.

"Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований "Демокрит" в Греции", - отметил начальник отдела анализа угроз центра Solar 4RAYS ГК "Солар" Алексей Фирш.

Активность NGC2180 на протяжении минимум последних трех лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

"На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует еще больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась - неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180, поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведенными в нашем исследовании, для выявления следов присутствия данной группировки", - предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК "Солар" Дмитрий Маричев.

Последние комментарии

Дмитрий Донской 02 декабря 2024 16:57 Игорь Матвеев: "Технические специалисты, обладающие знаниями в области ИТ-технологий, востребованнее, чем программисты"

Специалист по радиосвязи легко осваивает проводную связь, тогда как проводнику сложнее разобраться в радиосвязи. И это факт!

Глеб Галушкин 02 июня 2023 18:06 Антон Крамаров (SmaSS Technologies): "В условиях импортозамещения российские идеи и разработки получают второй шанс"

Только в своих «мудрых» речах Антон почему-то умалчивает, как по-свински поступил с работниками своей команды. Что «предупредил» людей о закрытии за две недели до роспуска команды. Уговорил написать увольнение по собственному желанию, клятвенно обещая выплатить всё после продажи интеллектуальной собственности. Потом исчез, и своих денег мы ждём до сих пор

Анатолий Илларионов 13 октября 2018 06:06 "Прибывалка.63" вышла в финал престижного всероссийского конкурса "ПРОФ-IT.2018"

Прибывалка63 умерла после появления в Самаре Яндекс.Транспорт

Анатолий Илларионов 13 октября 2018 06:02 Для стадиона "Самара Арена" разработано приложение с 3D-картой и аудиогидом

Всё написали, кроме того как называется приложение

Фото на сайте

Все фотогалереи

Новости раздела

Все новости
Архив
Пн Вт Ср Чт Пт Сб Вс
26 27 28 29 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31