Эксперты обнаружили атакующую российские ТЭК и авиапром группировку хакеров
Эксперты по кибербезопасности обнаружили новую хакерскую группировку ChamelGang. Она атакует учреждения в десяти странах мира, в том числе в России. Объектами атак стали отечественные компании в ТЭК и авиапроме, как минимум две атаки оказались успешными
Российские компании атакует новая хакерская группировка ChamelGang. Об этом газете «Коммерсантъ» сообщили в Positive Technologies, которая расследовала инциденты в компаниях ТЭК и авиапрома. По данным расследования, первые атаки были зарегистрированы в марте, хакеров интересует хищение данных из скомпрометированных сетей. В двух атаках хакерам сопутствовал успех.
Как рассказали эксперты Positive Technologies, объектами атаки ChamelGang стали организации в десяти странах, включая Индию, США, Тайвань и Германию. В четырех из них были обнаружены скомпрометированные правительственные серверы. В Positive Technologies отметили, что все пострадавшие компании получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT). В «Лаборатории Касперского» «отдельные компоненты атаки» группировки наблюдают как минимум с мая. В российских структурах ТЭКа и авиапрома были скомпрометированы серверы, уточнили в Positive Technologies.
Новая группировка получила название ChamelGang от слова chameleon, так как хакеры маскируют вредоносное программное обеспечение (ПО) и сетевую инфраструктуру под законно действующие сервисы. Например, они регистрируют фишинговые домены, имитирующие сервисы поддержки, доставки контента и обновлений Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. Среди инструментов группировки представлено новое, ранее не описанное вредоносное ПО ProxyT, BeaconLoader и бэкдор DoorMe, то есть «лазейка», которая позволяет хакеру получить доступ в систему.
В одной из атак хакеры сначала напали на дочернюю организацию, а через две недели — на головную компанию. Они узнали пароль локального администратора на одном из серверов и проникли в сеть компании по протоколу удаленного рабочего стола (RDP). Хакеры оставались необнаруженными в корпоративной сети в течение трех месяцев и за это время получили контроль над большей частью сети, включая критически важные серверы и узлы.
Во второй атаке для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange, о которой стало известно в августе. Хакеры присутствовали в инфраструктуре организации восемь дней и значимого ущерба нанести не успели, отметили в Positive Technologies. Эксперт по кибербезопасности «Лаборатории Касперского» Алексей Шульмин подтвердил таргетированный характер атаки и широкую географию жертв, в том числе «единичные попытки атак в России». Некоторые утилиты группировки, добавил он, имеют интерфейс на китайском языке.
Эксперты не раскрывают названия организаций, которые подверглись атакам ChamelGang, сами компании потенциальные уязвимости комментируют неохотно. В энергетической «Т Плюс» сообщили, что не сталкивались с деятельностью новой группировки. Для выявления возможных хакерских атак, вирусных активностей и других нарушений центр информационной безопасности «Т Плюс» ведет круглосуточный мониторинг, отметили в компании.
Атаки на стратегически важные промышленные объекты, в том числе ТЭК и авиапром, считает глава отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский, нередко реализуют кибернаемники и проправительственные группировки. Промышленные предприятия не всегда способны выявить целенаправленную кибератаку и годами могут оставаться в неведении о ней, сказал глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов.
На практике хакеры более чем в 90% случаев могут проникнуть в корпоративную сеть промышленного предприятия, и почти каждое проникновение приводит к полному контролю над инфраструктурой организации, отметил Кувшинов. Предприятия этой сферы, добавил эксперт, входят в тройку наиболее часто атакуемых отраслей. В 84% таких случаев в прошлом году хакеры нацеливались на хищение информации, уточнил он.