Атаки запишем: хакеры-профи продолжают нападать на организации в России

Злоумышленники группируются

По данным F.A.C.C.T., во II квартале 2024 года девять прогосударственных APT-групп вели кампании против организаций в России и СНГ, рассказали Forbes в компании. Несколько из них по ряду косвенных признаков можно отнести к проукраинским группам, другие — к азиатским и, предположительно, китайским, уточнили в F.A.C.C.T. «В частности, в зависимости от используемых инструментов, целевой страны, часовых поясов работы злоумышленников, ошибок или комментариев в коде на определенном языке, загрузки тестовых семплов на публичные «песочницы» (установить по стране загрузки)», — перечисляют в компании признаки, по которым можно построить страновую атрибуцию злоумышленников.

Прогосударственные — организованные хакерские группы, которые в интересах определенных государств (их спецслужб, военных или государственных ведомств) атакуют госучреждения, предприятия или компании других стран с целью кибершпионажа, саботажа, подготовки к проведению кибердиверсий. APT-группировки (Advanced Persistent Threat — целевая продолжительная атака повышенной сложности) — это хакеры, обладающие большим уровнем специальных знаний и значительными ресурсами, позволяющими им создавать угрозу особо опасных кибератак.

Субъекты атак

Пять из девяти APT-групп специалисты F.A.C.C.T. обнаружили сами, данные об активностях еще четырех группировок были публично обнародованы и получены исследователями преимущественно во время реагирований и расследований инцидентов ИБ. Так, к числу первых относятся, например, действия Core Werewolf, которая провела минимум девять атак против России, Армении и Белоруссии. Большинство из них основывалось на развертывании легитимной программы удаленного доступа UltraVNC.

Кибершпионы Sticky Werewolf добавили в свой арсенал стилер (зловред, ворующий данные учетных записей, логины и пароли, записанные в браузере, файлы cookies, файлы с жесткого диска и т.п.) Rhadamanthys и с его помощью с апреля по июнь провели более 10 атак на организации в России и Белоруссии. Также группа продолжает использовать троян удаленного доступа Darktrack. По данным F.A.C.C.T., группу интересовали организации в сферах здравоохранения, производства радиосвязи, телекоммуникаций, биотехнологий, оборонно-промышленного комплекса (ОПК), авиации, энергетики и промышленности, разработки ПО.

Также эксперты обнаружили новый Go-загрузчик (Go — язык программирования с открытым исходным кодом, разработанный в Google) группы PhantomCore и присвоили ему имя PhantomDL. Версия загрузчика использовалась в нескольких атаках, одна из которых была направлена на российскую IT-организацию и заблокирована системой F.A.C.C.T. Managed XDR.

Кроме того, специалисты раскрыли группы ReaverBits и XDSpy: первая напала на один из государственных фондов России, вторая проводила атаки с помощью вредоносных программ XDSpy.NSISDownloader и XDSpy.GoBackdoor, направленные на Россию, Белоруссию и Молдову.

Четыре АРТ-группировки, показавшие себя в апреле — июне, о которых специалисты уже сообщали, — это Hellhounds, Obstinate Mogwai, Lazy Koala и SugarGh0st Team. В двух инцидентах злоумышленникам первой из них удалось проникнуть в инфраструктуру жертв через подрядчика: «Помимо уже известных атак на узлы под управлением ОС Linux, впервые в процессе реагирования на инцидент в компании в сфере транспорта и перевозок обнаружены успешные атаки на Windows-инфраструктуру», — говорят в F.A.C.C.T. А, к примеру, новая группа Lazy Koala атаковала государственные, финансовые, медицинские, образовательные отрасли России, Белоруссии, Казахстана, Таджикистана, Киргизии, Армении и Узбекистана. Основной целью ее участников была кража учетных записей от различных сервисов с компьютеров сотрудников.

Встроиться в цепочку

В прошлом году специалисты того же подразделения F.A.C.C.T. Threat Intelligence констатировали: рост числа политически мотивированных атак для хищения конфиденциальной информации или разрушения IT-инфраструктуры российских компаний составил 116% по сравнению с 2022-м. При этом они выделили 14 прогосударственных хакерских APT-групп, активно работавших на территории России и стран СНГ. Чаще всего они атаковали Россию (28 атак), Азербайджан (шесть атак) и Белоруссию, Киргизию, Казахстан (по четыре атаки). Целями были госучреждения, организации, связанные с критически важной инфраструктурой, военные учреждения и предприятия оборонно-промышленного комплекса.

В текущем году прогосударственные атакующие продолжат проявлять активность, а также дадут о себе знать группы, пропавшие на некоторое время с радаров ИБ-экспертов в 2024 году, такие как Cloud Atlas, прогнозирует руководитель департамента Threat Intelligence F.A.C.C.T. Елена Шамшина. «Вероятно, APT-группы продолжат совершенствовать инструменты для минимизации вероятности обнаружения, — рассуждает она. — Основными целями таких групп продолжат оставаться правительственные и военные организации, однако уже наблюдается размытие целевых секторов. Одна из причин этого заключается в том, что злоумышленники успешно атакуют крупных подрядчиков и через них легко проникают в организации в разных сферах».

Камуфляж и шпионаж

Атаки APT-групп обычно технически сложные, направлены на крупные компании или госучреждения, и основное отличие, которое выделяет их среди всех остальных, в том, что «невооруженным взглядом» заметить их практически нереально, указывают аналитики. Целью большинства APT-атак является кибершпионаж — в ходе них злоумышленники месяцами и годами скрытно наблюдают за тем, что происходит на зараженных компьютерах, собирая с них нужную информацию, поясняет эксперт по кибербезопасности «Лаборатории Касперского» Георгий Кучерин.

Ущерб, который могут нанести своими нападениями такие злоумышленники, может исчисляться миллиардами долларов. Например, в «Лаборатории Касперского» напоминают, как в ходе одной из кампаний по распространению зловреда NotPetya (также известного как ExPetr) в качестве одного из векторов атаки использовали зараженный государственный сайт. Когда пользователи посещали его, на их компьютеры загружался шифровальщик. NotPetya в свое время нанес ущерб, оцениваемый в $10 млрд.

Как правило, такие группы имеют собственное вредоносное ПО (ВПО) либо доработанные или модифицированные уже известные инструменты, говорит специалист группы киберразведки экспертного центра безопасности Positive Technologies Александр Бадаев. «Мы нередко видим, что в одной и той же атаке группа может использовать как свое ВПО, так и вредоносные программы с форумов, — добавляет он. — Бывают случаи, когда после выхода репорта от ИБ-вендоров по какой-либо APT на форумах «банят» продавцов ВПО за использование софта на территории России и стран СНГ».

APT-группы могут дольше оставаться в системе незамеченными и месяцами развивать атаку, в то время как финансово-мотивированной группе выгоднее все сделать быстрее, например зашифровать компанию, получить выкуп и двигаться дальше, рассуждает Бадаев. «Чаще всего группы охотятся за конфиденциальными данными атакованных организаций, — объясняет эксперт группы анализа ВПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Антон Каргин. — Кроме того, в нашей практике мы регулярно видим, что, потеряв интерес к инфраструктуре жертвы, злоумышленники пытаются ее уничтожить с помощью шифрования или удаления критически важных данных».

APT-группы, связанные с текущими событиями, обычно действуют агрессивно и часто уничтожают данные, шифруют данные компании без дальнейшей возможности расшифровки, дополняет Бадаев: «Стараются найти и уничтожить резервные копии, чтобы шифрование сильнее ударило по компании. Другие APT обычно действуют более осторожно и занимаются шпионажем, стараясь лишний раз не показывать свое присутствие».

Каждая APT-атака уникальна, и набор инструментов, используемых в каждой из них, разный, продолжает Кучерин. В основном это вредоносные программы, предназначенные для сбора информации, например кражи документов, снятия скриншотов экрана, записи звука с микрофона и изображений с веб-камеры, перечисляет он: «Однако также бывает, что для сбора информации удается использовать во вредоносных целях и легитимные программы, установленные внутри организации».

Профессиональные атакующие применяют массу уловок: закладки в легитимных утилитах, использование редких уязвимостей или уязвимостей в проприетарном ПО, используемом в атакованной организации, непопулярных протоколов для связи с серверами управления, социальная инженерия, говорит Антон Каргин. «Этот список можно продолжать долго. Суть в том, что APT-группировки часто обладают практически неограниченными ресурсами и стараются постоянно совершенствовать свои тактики, техники и процедуры, чтобы быть на шаг впереди стороны защиты», — заключает он.