о проекте

войти | регистрация

 
 

 

 
 

персоны

 
   
 

тема

 
   
 

топ блоги

 
 

Экспертное мнение

126.60

Сейчас скажу

73.87

Активный отдых

59.33

IT-баранки

48.50

Выборы. Конкурсы. Розыгрыши.

46.71

Вкусная жизнь

43.03

Додыр

39.58

Полит просвет

35.49

Выборы мэра Тольятти-2012

34.76

Развитие Тольятти

33.03


Все блоги

 
 
 
 

IT-баранки

 
Блог о мучных изделиях в Информационных Технологиях.
 

ГК «Солар»: иностранная хакерская группировка шпионила за российским ведомством

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления – скомпрометированные серверы организаций в разных странах. Группировка существует как минимум три года, но данных для точной ее аттрибуции пока недостаточно, поэтому кластер этой активности временно назван NGC2180. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.



В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику широкие возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).

Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года. С каждой новой версией ВПО становилось более сложным. В частности, в последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой) и отказались от поэтапной передачи команд с сервера управления на целевую систему. Такие действия разработчиков ВПО говорят о попытках скрыть вредоносную активность от средств защиты на конечном хосте.

Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.

«Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции», — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

Активность NGC2180 на протяжении минимум последних трех лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

«На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует еще больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась – неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180, поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведенными в нашем исследовании, для выявления следов присутствия данной группировки», — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.
ГК «Солар», Ростелеком Самара, Solar 4RAYS, Дмитрий Маричев, Алексей Фирш, DFKRAT

Комментарии (0)


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
 
 

 

Прямой эфир

 
 
 
 

Тэги

 
   

 

 
             
 

Войти

Регистрация

Разделы

Новости

Блоги
Персоны

Газета

Блоги

Коллективные

Персональные

Инфо

О сайте

Правила

Соглашение

Услуги

Реклама

Партнерская программа

         
             
 

Все права на материалы, находящиеся на сайте , охраняются в соответствии с законодательством РФ, в том числе, об авторском праве и смежных правах. При любом использовании материалов сайта, гиперссылка (hyperlink) на сайт обязательна. (Условия ограниченного использования материалов)

Разработка сайта:

   

Дизайн: Грасмик Александр

Движок: LiveStreet