ГК «Солар»: иностранная хакерская группировка шпионила за российским ведомством

Фото: пресс-служба "Ростелекома"

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информбезопасности) обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти.

Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удалённого управления – скомпрометированные серверы организаций в разных странах. Группировка существует как минимум три года, но данных для точной её аттрибуции пока недостаточно, поэтому кластер этой активности временно назван NGC2180. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома.  Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику широкие возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).

Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года. С каждой новой версией ВПО становилось более сложным. В частности, в последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой) и отказались от поэтапной передачи команд с сервера управления на целевую систему. Такие действия разработчиков ВПО говорят о попытках скрыть вредоносную активность от средств защиты на конечном хосте.

Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.

Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нём управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции,

— отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

Активность NGC2180 на протяжении минимум последних трёх лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

На основании анализа фрагмента управляющего сервера мы полагаем, что в «дикой природе» существует ещё больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удалённого управления, доставки и развертывания совершенствовалась – неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180, поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведёнными в нашем исследовании, для выявления следов присутствия данной группировки,

Реклама, ПАО "Ростелеком", ИНН 7707049388