Хакеры три года шпионили за российскими ведомствами с помощью уникального вредоноса
Впервые эксперты Solar 4RAYS обнаружили GoblinRAT в 2023 году при расследовании инцидента в IT-компании, предоставляющей услуги преимущественно органам власти, сообщили Forbes в ГК «Солар». Штатные ИБ-специалисты организации заметили факты удаления системных журналов на одном из серверов, а также загрузки утилиты для похищения паролей от учетных записей с контроллера домена. К расследованию привлекли специалистов «Солара».
После продолжительных поисков был обнаружен код, который маскировался под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. «Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными», — рассказали в ГК «Солар».
Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления: всякий раз атакующие сначала тщательно изучали особенности целевой инфраструктуры (используемое ПО и т.п.) и лишь потом внедряли вредонос под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе. Это явно указывает на таргетированный характер атаки, убеждены эксперты. Высокий уровень технической подготовки атакующих и знание принципов работы операционных систем позволили им оставаться незамеченными в течение нескольких лет.
«С помощью этого софта злоумышленники смогли получить полный контроль над инфраструктурой жертв, — говорит инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов. — Операторы GoblinRAT имели неограниченный доступ к атакованным инфраструктурам, то есть в течение долгого времени имели возможность похищать, модифицировать и уничтожать любую информацию на серверах, к которым у них был доступ».
Такое ВПО было обнаружено в четырех организациях. Как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев. Какие ведомства были атакованы этим ВПО, в «Соларе» не раскрывают, заявляя лишь, что это «органы власти и их IT-подрядчики». В качестве управляющих серверов, через которые оператор отдает команды ВПО, злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ретейлера).
Коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях, утверждает Константин Жигалов, добавляя, что ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. «Подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными», — говорит он.
По итогам 2023 года число политически мотивированных кибератак выросло на 120% по сравнению с 2022-м, рассказывали ранее Forbes в Angara Security: «Также растет число группировок хактивистов, которые совершают атаки на объекты критической инфраструктуры. Этот тренд сохраняется и в 2024 году. В фокусе внимания киберпреступников остаются государственные организации, финансовый сектор, e-commerce, СМИ, страховые компании, IT-сектор и промышленность». Согласно данным компании, наиболее распространенными техниками остаются вредоносное ПО и массовое применение шпионского ПО (в 2023 году более 23% атак было совершено с помощью программ-шпионов), вымогательство с помощью программ-шифровальщиков данных, атаки на системы защищенной передачи данных, фишинговые рассылки, социальная инженерия на базе нейросетей, которая используется в более чем 40% случаев кибератак.