«Солар» обнаружил иностранную хакерскую группировку, шпионившую за российским ведомством

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удалённого управления — скомпрометированные серверы организаций в разных странах, — сообщает пресс-служба «Ростелекома». К настоящему моменту всё обнаруженное вредоносное ПО обезвредили, а затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar анализировали инфраструктуры одного из российских ведомств. Так выяснили, что один компьютер взломали. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО). Обнаруженная версия никогда раньше не встречалась, зато удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года.

— Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нём управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

С каждой новой версией ВПО становилось более сложным. В последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой — прим. Ф.). Они отказались от поэтапной передачи команд с сервера управления на целевую систему. Это говорит о том, что мошенники пытались скрыть вредоносную активность от средств защиты на конечном хосте. Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начинённого загрузчиком. В последней атаке вектор заражения остался неизвестным.

— На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует ещё больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась — неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180 (выявленной преступной группировке — прим. Ф.), поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведёнными в нашем исследовании, для выявления следов присутствия данной группировки, — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.