К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Эксперты обнаружили атакующую российские ТЭК и авиапром группировку хакеров


Эксперты по кибербезопасности обнаружили новую хакерскую группировку ChamelGang. Она атакует учреждения в десяти странах мира, в том числе в России. Объектами атак стали отечественные компании в ТЭК и авиапроме, как минимум две атаки оказались успешными

Российские компании атакует новая хакерская группировка ChamelGang. Об этом газете «Коммерсантъ» сообщили  в Positive Technologies, которая расследовала инциденты в компаниях ТЭК и авиапрома. По данным расследования, первые атаки были зарегистрированы в марте, хакеров интересует хищение данных из скомпрометированных сетей. В двух атаках хакерам сопутствовал успех. 

Как рассказали  эксперты Positive Technologies, объектами атаки ChamelGang стали организации в десяти странах, включая Индию, США, Тайвань и Германию. В четырех из них были обнаружены скомпрометированные правительственные серверы. В Positive Technologies отметили, что все пострадавшие компании получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT). В «Лаборатории Касперского» «отдельные компоненты атаки» группировки наблюдают как минимум с мая. В российских структурах ТЭКа и авиапрома были скомпрометированы серверы, уточнили в Positive Technologies.

Новая группировка получила название ChamelGang от слова chameleon, так как хакеры маскируют вредоносное программное обеспечение (ПО) и сетевую инфраструктуру под законно действующие сервисы. Например, они регистрируют фишинговые домены, имитирующие сервисы поддержки, доставки контента и обновлений Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. Среди инструментов группировки представлено новое, ранее не описанное вредоносное ПО ProxyT, BeaconLoader и бэкдор DoorMe, то есть «лазейка», которая позволяет хакеру получить доступ в систему.

 

В одной из атак хакеры сначала напали на дочернюю организацию, а через две недели — на головную компанию. Они узнали пароль локального администратора на одном из серверов и проникли в сеть компании по протоколу удаленного рабочего стола (RDP).  Хакеры оставались необнаруженными в корпоративной сети в течение трех месяцев и за это время получили контроль над большей частью сети, включая критически важные серверы и узлы.

Во второй атаке для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange, о которой стало известно в августе. Хакеры присутствовали в инфраструктуре организации восемь дней и значимого ущерба нанести не успели, отметили в Positive Technologies. Эксперт по кибербезопасности «Лаборатории Касперского» Алексей Шульмин подтвердил таргетированный характер атаки и широкую географию жертв, в том числе «единичные попытки атак в России». Некоторые утилиты группировки, добавил он, имеют интерфейс на китайском языке.

 

Эксперты не раскрывают названия организаций, которые подверглись атакам ChamelGang, сами компании потенциальные уязвимости комментируют неохотно. В энергетической «Т Плюс» сообщили, что не сталкивались с деятельностью новой группировки. Для выявления возможных хакерских атак, вирусных активностей и других нарушений центр информационной безопасности «Т Плюс» ведет круглосуточный мониторинг, отметили в компании. 

Атаки на стратегически важные промышленные объекты, в том числе ТЭК и авиапром, считает глава отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский, нередко реализуют кибернаемники и проправительственные группировки. Промышленные предприятия не всегда способны выявить целенаправленную кибератаку и годами могут оставаться в неведении о ней, сказал глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов.

На практике хакеры более чем в 90% случаев могут проникнуть в корпоративную сеть промышленного предприятия, и почти каждое проникновение приводит к полному контролю над инфраструктурой организации, отметил Кувшинов. Предприятия этой сферы, добавил эксперт, входят в тройку наиболее часто атакуемых отраслей. В 84% таких случаев в прошлом году хакеры нацеливались на хищение информации, уточнил он. 

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+