В ГК «Солар» зафиксировали атаку азиатских хакеров, которые на протяжении полутора лет оставались незамеченными в сети одного из российских государственных учреждений, собирая конфиденциальные данные.
Компания отказалась раскрывать название организации и степень ущерба, причиненного злоумышленниками.
Специалисты установили, что следы атаки были обнаружены в системе контроля и управления доступом (СКУД), которая не была подключена к системам мониторинга информационной безопасности. Группа предполагается восточно-азиатского происхождения, так как ее тактики и инструменты характерны для злоумышленников из этого региона.
Хакеры воспользовались тем, что часть сети, включая СКУД, находилась вне контроля инцидентов. В марте 2023 года они получили доступ к одному из компьютеров в этой системе, и их действия остались незамеченными. Злоумышленники смогли продвигаться по сети до тех пор, пока не достигли систем, управляемых Solar JSOC.
ИБ-специалисты назвали данную группировку Erudite Mogwai. Они отмечают, что хакеры добавляют отсылки к музыкальным и литературным произведениям в код своего вредоносного ПО, что и дало им это название. С 2017 года Erudite Mogwai, известная также как Space Pirates, атакует госучреждения и высокотехнологичные компании, включая авиационно-космическую и электроэнергетическую отрасли. Жертвами группировки стали как российские, так и грузинские и монгольские организации.
Чтобы получить первоначальный доступ к инфраструктуре, злоумышленники взломали общедоступный веб-сервис и через него проникли на компьютер, который не находился в доменной сети.
«Недоменные компьютеры администрируются, обновляются или настраиваются вручную. В большинстве организаций это делается нерегулярно», – пояснил эксперт киберугроз Solar 4RAYS Денис Чернов. По словам эксперта, в таких системах часто используются локальные учетные записи с высокими привилегиями, пароли к которым могут отсутствовать или быть простыми и не обновляться.
После проникновения в систему хакеры начали медленно развивать свою атаку. Для этого они использовали модифицированную версию инструмента для проксирования трафика Stowaway, который позволял скрывать связь между зараженными компьютерами и управляющими серверами. За полтора года Erudite Mogwai скомпрометировали несколько десятков систем и применили более 20 различных инструментов, которые удаляли после использования. Замечено, что многие open-source утилиты, использованные хакерами, были разработаны китайскими программистами, а версия утилиты Stowaway значительно отличалась от оригинала. «По всей видимости, Erudite Mogwai увидели в ней большую ценность и фактически создали собственную ветку модификаций Stowaway, специально под свои нужды», – отмечают в ГК «Солар».
Ранее, согласно другому исследованию ГК «Солар», количество вирусов-майнеров, которыми заражены госорганизации, увеличилось за четвертый квартал 2024 года на 9%. На их долю приходится более четверти всех вирусов в госорганизациях. При этом в частном бизнесе таких случаев значительно меньше.