Эксперты выявили хакеров-профи, шпионивших за российскими компаниями с 2022 года

Дракон сбрасывает кожу

Эксперты центра исследования киберугроз Solar 4RAYS выявили высокопрофессиональную группу Shedding Zmiy, рассказали Forbes в ГК «Солар» (входит в «Ростелеком», работает в сфере информбезопасности). Скомпрометированные данные российских компаний хакеры использовали в последующих нападениях, а также выкладывали публично. Они не интересовалась деньгами, а охотились за данными, утверждают ИБ-специалисты.

«Мы не относим группировку к какой-либо стране. Вопрос атрибуции кибератак непростой, поскольку атакующие способны легко подделать атрибуты, которые могут указывать на их происхождение, и выводы зачастую строятся на предположениях», — уточнил Forbes инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов. Однако он приводит несколько характерных этой группировке признаков. Во-первых, украденные данные публиковались в проукраинских Telegram-каналах. Во-вторых, в части используемого инструментария Shedding Zmiy связана с другими группировками (Cobalt, exCobalt, Shadow, Comet, Twelve, «о происхождении которых в сообществе исследователей киберугроз сложилось определенное мнение»). В-третьих, в некоторых кейсах встречались ошибки, когда команды вводились вместо английского на украинском и русском языках. Наконец, целями группировки стало множество организаций на территории России, заключает он.

Группировка представляет серьезную угрозу для российской инфраструктуры, сообщили в ГК «Солар»: она применяет как публично доступное вредоносное ПО (ВПО), так и уникальное, разработанное специально под конкретные цели, а для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. При этом Shedding Zmiy умеет запутывать следы: группировка владеет «обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах; это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP)».

Хотя в каждой новой атаке хакеры старалась действовать иначе, чем в предыдущей, эксперты быстро стали замечать следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь, на первый взгляд, разных инцидентов в конце концов были объединены в один кластер. «Мы назвали группировку Shedding Zmiy (то есть «Линяющий змей»), потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур. Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак», — объясняет Геннадий Сазонов.

Всего эксперты обнаружили следы использования 35 различных инструментов для разведки, доставки вредоносного ПО, скрытного горизонтального продвижения внутри сети и похищения данных. Для проникновения в сеть, повышения привилегий и закрепления атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО. Кроме технических инструментов, хакеры прибегали и к высокопрофессиональной социальной инженерии. К примеру, для одной из атак они создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и выпросили у сотрудника компании пароль от учетной записи. Используя скомпрометированную учетку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

Объектами нападений, которых с начала 2022 года набралось несколько десятков, стали компании и организации из государственного, промышленного, телекома и других секторов. Названия атакованных бизнесов в ГК «Солар», впрочем, не раскрыли. «Исходя из информации об инструментах и регулярности инцидентов, Shedding Zmiy могут представлять из себя группировку, в которой есть различные команды: пентестеры, разработчики, операторы, системные администраторы», — перечисляют в Solar 4RAYS. Чтобы подготовить атаки, которые проводил Shedding Zmiy, нужна команда специалистов минимум из пяти-шести человек разных специализаций, работающих постоянно, а также бюджет на приобретение коммерческих вредоносных инструментов. Хакеры применяли как уже знакомые специалистам вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО для эксплуатации уязвимостей, разработанные самостоятельно.

В частности, члены группы разработали целый фреймворк (то есть платформу, софт, облегчающий разработку и объединение разных компонентов большого программного проекта) для эксплуатации уязвимости. «Это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», — констатируют эксперты Solar 4RAYS. Создание фреймворка для эксплуатации — это некая автоматизация процесса, продолжает аналитик департамента Threat Intelligence F.A.С.С.T. Алена Шандер. Это, по ее мнению, говорит о том, что группа не разово использовала эту уязвимость, а планирует и дальше эксплуатировать ее: «В противном случае не было бы смысла тратить время на реализацию отдельного фреймворка».

Кроме того, атакующие использовали SystemBC, EkipaRAT и DarkGate — софт, распространяемый на коммерческой основе. «Такое ПО, как правило, недешево. На одном из подпольных форумов мы видели предложения о продаже DarkGate по цене примерно $100 000 за годовую лицензию. Сама разработка арсенала стоит на порядок больше, чем стоимость экземпляра ПО — то есть уже не $100 000, а $1 млн. В свою очередь, стоимость атаки уже на порядок выше стоимости разработки — туда входит как несколько утилит, так и немалый ресурс самих атакующих», — рассуждает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков.

Камуфляж и шпионаж

По оценкам F.A.C.C.T., в 2023 году в целом Россию и страны СНГ атаковали 14 прогосударственных хакерских групп. «Принято считать, что за прогосударственными группировками стоят военные подразделения разных стран, каждое из которых имеет множество сотрудников, по сути работающих за заработную плату. Иногда сложные задачи разделяются между несколькими людьми, таким образом, каждый ответствен за реализацию определенных функциональных возможностей или отдельного модуля вредоносной программы», — поясняет Алена Шандер из F.A.С.С.T.

В текущих реалиях такие группировки уже нельзя назвать новым феноменом: в последние годы число подобных атак с деструктивными целями выросло, говорит технический руководитель направления МТС RED SOC компании МТС RED Ильназ Гатауллин. Но чаще, по его словам, мы видим другую мотивацию — не деструктивное воздействие, а длительный, порой многолетний шпионаж.

«Деструктивное воздействие — это редкое явление, все-таки чаще прогосударственные группы действуют с целью шпионажа, кражи интеллектуальной собственности и получения доступа к базам данных компаний», — согласна Алена Шандер из F.A.С.С.T. Она напоминает, как в конце 2023 года была обнаружена длительная атака на российского телеком-оператора, которая длилась с 2022 года по апрель 2023-го, с использованием ВПО DecoyDog. В результате абоненты сутки находились без связи, часть данных была уничтожена.

«Интересно, что сразу после нее, в мае 2023 года, началась атака украинского оператора «Киевстар», из-за чего у компании возникли серьезные проблемы в работе, а пользователи мобильной связи и интернета столкнулись со сбоями и отсутствием связи. Таким образом, речь шла о деструктивном воздействии на телеком-операторов обеих стран в условиях острого геополитического конфликта», — делает вывод Шандер.

Подобные группировки очень хорошо спонсируются: суммы, выделяемые на разработку инструментов и покупку 0-day уязвимостей (то есть неустраненных, а также вредоносных программ, против которых еще не разработаны защитные механизмы), могут достигать миллионов долларов, оценивает Гатауллин. «Используемые методы действительно встречаются редко из-за связанных с ними сложностей. Одно дело, когда злоумышленник использует уже готовые и доступные для комьюнити типовые инструменты атак, и совсем другое — человеческие и финансовые ресурсы, которые требуются для разработки собственного фреймворка».

По итогам 2023 года число политически мотивированных кибератак выросло на 120% по сравнению с 2022-м, сообщили Forbes в Angara Security: «Также растет число группировок хактивистов, которые совершают атаки на объекты критической инфраструктуры. Этот тренд сохраняется и в 2024 году. В фокусе внимания киберпреступников остаются государственные организации, финансовый сектор, e-commerce, СМИ, страховые компании, IT-сектор и промышленность». Согласно данным компании, наиболее распространенными техниками остаются вредоносное ПО и массовое применение шпионского ПО (в 2023 году более 23% атак было совершено с помощью программ-шпионов), вымогательство с помощью программ-шифровальщиков данных, атаки на системы защищенной передачи данных, фишинговые рассылки, социальная инженерия на базе нейросетей, которая используется в более чем 40% случаев кибератак.