Центр исследования киберугроз Solar 4RAYS ГК «Солар» выявил активность азиатских хакеров, которые на протяжении полутора лет скрывались в сети одной из российских госорганизаций для сбора конфиденциальной информации.
Группировка, получившая название «Erudite Mogwai», использовала уникальные методы, включая внесение ссылок на музыкальные и литературные произведения в код своего вредоносного ПО.
Проникновение в IT-инфраструктуру произошло через систему контроля и управления доступом (СКУД), в которую входят турникеты и кодовые замки.
По данным экспертов, эта система не была подключена к мониторингу информационной безопасности, что позволило злоумышленникам действовать незамеченно и использовать компьютер, входящий в состав СКУД, для дальнейшего продвижения по сети.
Хакеры демонстрировали тактики, характерные для восточно-азиатских группировок, что подтвердили исследователи киберугроз.
В результате их действий системам, контролируемым Solar JSOC, был нанесён ущерб, однако точные данные о размере ущерба остаются неизвестными.
С 2017 года группа хакеров Erudite Mogwai, также известная как Space Pirates, осуществляет атаки на государственные учреждения и высокотехнологичные предприятия, включая авиационно-космическую и электроэнергетическую отрасли.
Их жертвы находятся в России, Грузии и Монголии. Первоначальное вторжение в инфраструктуру оказалось возможным благодаря взлому публичного веб-сервиса. Таким образом, злоумышленники получили доступ к компьютерам, которые не зарегистрированы в централизованной системе управления.
Эксперт из Solar 4RAYS, Денис Чернов, отмечает, что такие компьютеры, называемые недоменными, обрабатываются вручную и, как правило, обновляются нерегулярно.
В большинстве случаев в учреждениях используются локальные учетные записи с привилегиями администратора, пароли для которых могут отсутствовать или быть очень простыми, что делает их легкой добычей для злоумышленников.
После первичного доступа, Erudite Mogwai начали не спеша развивать свои атаки. Для перемещения внутри сетей они применяли модифицированный инструмент для проксирования трафика под названием Stowaway, который скрывал связь между зараженными системами и серверами управления.
За полтора года хакеры скомпрометировали десятки систем и использовали более 20 различных инструментов, которые удаляли после завершения атак.
Множество open-source-утилит, используемых злоумышленниками, особенно те, которые были доработаны китайскими разработчиками, вызывают особый интерес среди специалистов.
Например, версия утилиты «Stowaway», применяемая в кибератаках, была значительно изменена для удовлетворения потребностей группы «Erudite Mogwai». Это свидетельствует о высокой ценности таких инструментов для хакеров.
Специалисты ГК «Солар» отметили, что долгое пребывание злоумышленников в IT-инфраструктурах организаций является распространенным явлением. В мае 2024 года они раскрыли деятельность хакерской группы «Shedding Zmiy», которая шпионила за российскими учреждениями не менее двух лет, проводя массовые атаки на различные секторы экономики.
Эти группы получают значительное финансирование, достигающее миллионов долларов для разработки новых инструментов и покупки незащищенных уязвимостей.
По данным исследования компании F6, продолжающийся геополитический конфликт ведет к росту кибератак и увеличению числа хакерских группировок. Если в 2023 году существует 14 прогосударственных APT-групп, осуществляющих атаки на Россию и СНГ, то в 2024 году их число достигло 27.
Хактивисты, действующие идеологически, также активизируются — в 2024 году они провели атаки на российские и белорусские организации, увеличив свое количество с 13 до минимум 17 групп.
Используемые ими методы варьируются от DDoS-атак до шифрования и уничтожения данных.
В отчетах F6 подчеркивается размытость границ между хактивистами, прогосударственными атаками и вымогателями. Все они нацелены на проведение кибердиверсий, которые могут серьезно нарушить функционал государственных и крупных организаций в России.
