К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Хакеры три года шпионили за российскими ведомствами с помощью уникального вредоноса

Фото Getty Images
Фото Getty Images
Центр исследования киберугроз Solar 4RAYS ГК «Солар» обнаружил уникальное вредоносное ПО (ВПО) GoblinRAT с широкой функциональностью для маскировки. По данным экспертов, ВПО обнаружили в сети нескольких российских ведомств и IT-компаний, которые обслуживают госсектор, причем самые ранние следы заражения датируются еще 2020 годом. На сегодня это одна из самых сложных и скрытных атак, с которыми доводилось сталкиваться экспертам Solar 4RAYS, заверяют в компании

Впервые эксперты Solar 4RAYS обнаружили GoblinRAT в 2023 году при расследовании инцидента в IT-компании, предоставляющей услуги преимущественно органам власти, сообщили Forbes в ГК «Солар». Штатные ИБ-специалисты организации заметили факты удаления системных журналов на одном из серверов, а также загрузки утилиты для похищения паролей от учетных записей с контроллера домена. К расследованию привлекли специалистов «Солара».

После продолжительных поисков был обнаружен код, который маскировался под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. «Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными», — рассказали в ГК «Солар».

Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления: всякий раз атакующие сначала тщательно изучали особенности целевой инфраструктуры (используемое ПО и т.п.) и лишь потом внедряли вредонос под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе. Это явно указывает на таргетированный характер атаки, убеждены эксперты. Высокий уровень технической подготовки атакующих и знание принципов работы операционных систем позволили им оставаться незамеченными в течение нескольких лет.

 

«С помощью этого софта злоумышленники смогли получить полный контроль над инфраструктурой жертв, — говорит инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов. — Операторы GoblinRAT имели неограниченный доступ к атакованным инфраструктурам, то есть в течение долгого времени имели возможность похищать, модифицировать и уничтожать любую информацию на серверах, к которым у них был доступ».

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Такое ВПО было обнаружено в четырех организациях. Как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев. Какие ведомства были атакованы этим ВПО, в «Соларе» не раскрывают, заявляя лишь, что это «органы власти и их IT-подрядчики». В качестве управляющих серверов, через которые оператор отдает команды ВПО, злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ретейлера).

 

Коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях, утверждает Константин Жигалов, добавляя, что ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. «Подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными», — говорит он.

По итогам 2023 года число политически мотивированных кибератак выросло на 120% по сравнению с 2022-м, рассказывали ранее Forbes в Angara Security: «Также растет число группировок хактивистов, которые совершают атаки на объекты критической инфраструктуры. Этот тренд сохраняется и в 2024 году. В фокусе внимания киберпреступников остаются государственные организации, финансовый сектор, e-commerce, СМИ, страховые компании, IT-сектор и промышленность». Согласно данным компании, наиболее распространенными техниками остаются вредоносное ПО и массовое применение шпионского ПО (в 2023 году более 23% атак было совершено с помощью программ-шпионов), вымогательство с помощью программ-шифровальщиков данных, атаки на системы защищенной передачи данных, фишинговые рассылки, социальная инженерия на базе нейросетей, которая используется в более чем 40% случаев кибератак.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+