Хакеры из Азии полтора года шпионили за российским ведомством

В ГК «Солар» обнаружили атаку азиатских злоумышленников, которые полтора года скрывались в сети российской госорганизации и собирали конфиденциальные данные, рассказали Forbes в компании. Название организации там не раскрыли, как и оценку нанесенного хакерами ущерба. По данным специалистов, следы злоумышленников нашли в системе контроля и управления доступом (СКУД, в нее входят турникеты, кодовые замки и т.п.), которая не была подключена к мониторингу ИБ. Группировка имеет восточно-азиатское происхождение, так как используемые ей тактики, техники и инструменты характерны для злоумышленников именно из этого региона, делают вывод ИБ-специалисты.

То, что часть сети, включая СКУД, находилась вне мониторинга инцидентов, сыграло на руку хакерам. В марте 2023 года они проникли в компьютер, являющийся частью этой системы, их действия никто не заметил. Атакующим удавалось продвигаться по сети жертвы до тех пор, пока они не дошли до систем, контролируемых Solar JSOC, рассказали в компании.

ИБ-специалисты назвали группировку Erudite Mogwai: в код своего вредоносного ПО злоумышленники добавляют отсылки к музыкальным и литературным произведениям, поэтому они и получили такой эпитет. Как минимум с 2017 года Erudite Mogwai (также известная в индустрии как Space Pirates) атакует госучреждения, а также высокотехнологичные предприятия (например, авиационно-космическую и электроэнергетическую индустрии). Жертвы хакеров располагались в России, а также в Грузии и Монголии.

Для первоначального проникновения в инфраструктуру злоумышленники взломали публично доступный веб-сервис, а через него попали на недоменный компьютер (то есть находящийся вне системы, которая позволяет им централизованно управлять), являющийся частью инфраструктуры СКУД. «Недоменные компьютеры администрируются, обновляются или настраиваются вручную. В большинстве организаций это делается нерегулярно, — поясняет эксперт центра исследования киберугроз Solar 4RAYS Денис Чернов. — К тому же обычно в таких системах используются локальные учетные записи с привилегиями администратора, пароль от которых может быть даже не установлен. А если пароль и есть, то его делают очень простым, чтобы не забыть, и потом никогда не обновляют. Такие «забытые навеки системы» становятся находкой для злоумышленников».

После проникновения в сеть злоумышленники начали не спеша развивать атаку. Для продвижения по системам они использовали видоизмененный инструмент для проксирования трафика Stowaway — с его помощью злоумышленники прятали коммуникации между зараженными компьютерами и серверами управления. За полтора года Erudite Mogwai скомпрометировали несколько десятков систем организации и применили более 20 различных инструментов, которые удаляли после использования. Интересно, что многие open-source-утилиты из арсенала злоумышленников были созданы китайскими разработчиками, а использованная в атаке версия утилиты Stowaway значительно отличается от оригинала. «По всей видимости, Erudite Mogwai увидели в ней большую ценность и фактически создали собственную ветку модификаций Stowaway, специально под свои нужды», — говорят в ГК «Солар».

Такое долгое нахождение хакеров в IT-инфраструктуре — не редкость. В мае 2024 года стало известно, что специалисты ГК «Солар» выявили деятельность хакерской группы Shedding Zmiy, которая шпионила за российскими организациями минимум с 2022-го. На ее счету — десятки кибератак на госсектор, промышленность, телеком и другие отрасли российской экономики. Подобные группировки хорошо спонсируются — суммы, выделяемые на разработку инструментов и покупку уязвимостей, против которых еще не разработана защита, могут достигать миллионов долларов, указывают эксперты.

В условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет и дальше расти, говорится в недавнем исследовании компании F6 (бывшей F.A.C.C.T). Если в 2023 году насчитывалось 14 прогосударственных APT-групп (Advanced Persistent Threat, профессионалы, действующие обычно в интересах какого-либо государства), атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27. «Идеологически мотивированные группы хакеров — хактивисты — продолжат обмениваться опытом и прокачают свои навыки и инструменты, что, несомненно, повысит эффективность их атак. В 2024 году не менее 17 таких группировок атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13», — писали аналитики компании.

В своих атаках хактивисты используют различные методы — как DDoS-атаки, так и шифрование, уничтожение данных. «Наблюдается размытие классификации хактивистов, прогосударственных атакующих и вымогателей. Их целью является проведение кибердиверсий — нарушение работы крупных, в том числе государственных организаций России, в своих атаках они могут использовать программы-шифровальщики», — следовало из отчета F6.