Российские эксперты считают, что иностранная хакерская группировка существует как минимум три года / Фото: пресс-служба Ростелекома
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома») обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления – скомпрометированные серверы организаций в разных странах. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.
В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредоносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику широкие возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).
Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года. С каждой новой версией ВПО становилось более сложным. Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.
— Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра исследования киберугроз Алексей Фирш.
Эксперты не исключают, что в будущем от NGC2180 (так назвали этот кластер активности) будут еще атаки. Они призвали ИБ-сообщество быть внимательнее и воспользоваться приведенными индикаторами для выявления следов присутствия данной группировки.
К ЧИТАТЕЛЯМ
Узнавайте новости первыми, подпишитесь на наш телеграм-канал
Обсуждаем новости в нашем канале ВК. Подписывайтесь и оставайтесь на связи
Хотите больше историй и видео? Подпишитесь на наш дзен-канал