«Солар» обнаружил иностранную хакерскую группировку, шпионившую за российским ведомством

Эк­спер­ты цен­тра ис­сле­дова­ния ки­беруг­роз за­мети­ли вре­донос­ное программное обеспечение и обез­вре­дили его.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удалённого управления — скомпрометированные серверы организаций в разных странах, — сообщает пресс-служба «Ростелекома». К настоящему моменту всё обнаруженное вредоносное ПО обезвредили, а затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar анализировали инфраструктуры одного из российских ведомств. Так выяснили, что один компьютер взломали. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО). Обнаруженная версия никогда раньше не встречалась, зато удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года.

— Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нём управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

С каждой новой версией ВПО становилось более сложным. В последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой — прим. Ф.). Они отказались от поэтапной передачи команд с сервера управления на целевую систему. Это говорит о том, что мошенники пытались скрыть вредоносную активность от средств защиты на конечном хосте. Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начинённого загрузчиком. В последней атаке вектор заражения остался неизвестным.

— На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует ещё больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась — неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180 (выявленной преступной группировке — прим. Ф.), поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведёнными в нашем исследовании, для выявления следов присутствия данной группировки, — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.

Игорь Резанов

Читайте также

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter.

Похожие новости

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

Wink покажет все матчи чемпионата Франции по футболу*

Wink покажет все матчи чемпионата Франции по футболу*

«Безопасный город» и «Сто дней в центре внимания». О чём журналистам рассказали на пресс-туре «Ростелекома» в Твери

«Безопасный город» и «Сто дней в центре внимания». О чём журналистам рассказали на пресс-туре «Ростелекома» в Твери

В России появился новый IT-бренд «Базис»*

В России появился новый IT-бренд «Базис»*

Какие премьеры ждут пользователей Wink в мае*

Какие премьеры ждут пользователей Wink в мае*

Белгородцев приглашают поучаствовать в VII Всероссийском семейном IT-марафоне

Белгородцев приглашают поучаствовать в VII Всероссийском семейном IT-марафоне

Эксперты определили победителей семейного IT-марафона 2023 года

Эксперты определили победителей семейного IT-марафона 2023 года

В конкурсе «Вместе в цифровое будущее» победили публикации о связи 5G, нейросетях и Госуслугах

В конкурсе «Вместе в цифровое будущее» победили публикации о связи 5G, нейросетях и Госуслугах

Создатели сериала «Слово пацана» запустили сайт для помощи подросткам

Создатели сериала «Слово пацана» запустили сайт для помощи подросткам

Для белгородских школьников в Москве провели «Гагаринский урок: личный опыт в космосе»

Для белгородских школьников в Москве провели «Гагаринский урок: личный опыт в космосе»