Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» выявил длительную кибератаку на российскую госорганизацию, осуществленную хакерской группировкой Erudite Mogwai, известной также как «Space Pirates». Эта атака продолжалась более полутора лет, в течение которых злоумышленники собирали конфиденциальные данные и оставались незамеченными благодаря сокрытию своего присутствия в системе контроля и управления доступом (СКУД).
ГК «Солар» сообщила Forbes, что хакеры infiltrировали систему, недоступную для мониторинга информационной безопасности. Системы СКУД, включающие в себя элементы, такие как турникеты и кодовые замки, не имели средств защиты и не были подключены к ИБ.
В марте 2023 года преступники смогли проникнуть в компьютер этой системы. После этого они неуклонно продвигались по сети жертвы до тех пор, пока не достигли систем, контролируемых Solar JSOC. Хакеры начали свою атаку с взлома публичного веб-сервиса, что дало им доступ к недоменному компьютеру, не подключенному к централизованной системе управления.
Эти недоменные компьютеры, как правило, администрируются вручную, что делает их уязвимыми из-за нерегулярных обновлений и настройок. Часто в таких системах используются локальные учетные записи с правами администратора, на которые могут не устанавливаться пароли. Эти «забытые системы» становятся легкой целью для злоумышленников.
ГК «Солар» не раскрыла название пострадавшей организации и размере ущерба, что подчеркивает сложность ситуации.
Специалисты в области информационной безопасности указывают на восточно-азиатское происхождение хакерской группировки, известной как «Erudite Mogwai». Эта группа использует уникальные тактики и инструменты, включая вредоносное ПО, которое содержит ссылки на литературные и музыкальные произведения.
После вторжения в систему, преступники применяют модифицированные версии программ, такие как «Stowaway», для скрытия своих коммуникаций между зараженными устройствами и сервером управления. За год и полтора «Erudite Mogwai» скомпрометировала множество систем, используя более 20 разнообразных инструментов.
Главное, что эти инструменты часто удаляются после использования, а многие из них являются Open Source и разработаны в Китае. Эксперты подчеркивают, что длительное пребывание хакеров в IT-инфраструктуре не является аномальным явлением.
В качестве примера приводится группа «Shedding Zmiy», которая, согласно данным ГК «Солар», шпионит за российскими организациями с 2022 года, атакуя различные сектора экономики, включая государственные структуры и промышленность.
Финансирование таких группировок часто достигает миллионов долларов, что позволяет им разрабатывать мощные инструменты для осуществления атак. Исследования показывают, что количество хакерских групп и кибератак продолжает расти.
В 2023 году было зафиксировано 14 групп, осуществляющих атаки на Россию и СНГ, но в 2024 их число возросло до 27.
