В рамках расследования кибератак на множество организаций, проведенного специалистами Solar 4RAYS из ГК «Солар», были обнаружены тревожные факты.
Эксперты обнаружили следы заражения в системах нескольких российских государственных учреждений и IT-компаний, датируемые 2020 годом. На данный момент это одна из самых сложных и скрытых атак, с которыми приходилось сталкиваться специалистам Solar 4RAYS.
GoblinRAT — так назвали вредоносное программное обеспечение, которое было впервые выявлено в 2023 году в ходе расследования инцидента в одной из IT-компаний, предоставляющих услуги государственным органам. Сотрудники компании, ответственные за информационную безопасность, обратили внимание на то, что на одном из серверов были удалены системные журналы и выполнен дамп хешей пользователей с контроллера домена. Для создания дампа использовалась утилита impacket-secretsdump, запущенная на Linux-хосте домена.
После тщательного анализа был обнаружен код, который скрывался под видом легального приложения. Параметры вредоносного процесса не отличались от обычных, а название файла, запускающего его, отличалось от настоящего лишь одной буквой. Для того, чтобы заметить эту разницу, потребовалось вручную проанализировать тысячи мегабайт данных.
«Вероятно, злоумышленники рассчитывали, что никто не будет тратить столько усилий на поиск, и они останутся незамеченными», — считают в ГК «Солар».
С помощью этого вредоносного программного обеспечения злоумышленники получили полный контроль над инфраструктурой своих жертв. Операторы GoblinRAT имели неограниченный доступ к системам и могли похищать, изменять и уничтожать любую информацию на доступных серверах.
Это вредоносное ПО было обнаружено в четырех организациях. К одной из них злоумышленники имели доступ в течение трех лет, а самая короткая атака длилась около шести месяцев. Компания не раскрывает конкретные атакованные ведомства, упоминая лишь "органы власти и их IT-подрядчиков".
Для управления вредоносным программным обеспечением злоумышленники использовали взломанные легитимные сайты, включая сайт онлайн-ретейлера. Коллеги из других компаний, занимающихся кибербезопасностью, с глобальными сетями сенсоров не смогли обнаружить ничего подобного в своих коллекциях, утверждают в компании.
Ключевым вопросом остается атрибуция атаки: не было обнаружено никаких артефактов, указывающих на происхождение вредоносного программного обеспечения. Эксперт отмечает, что подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки из других регионов. Однако очевидно, что создатели GoblinRAT обладают высоким уровнем профессионализма и серьезной мотивацией.
Данный инцидент подчеркивает важность того, что государственные системы (ГИС) должны подвергаться проверкам и контролю. Из-за отсутствия явных индикаторов, которые могли бы указать на источник вредоносного ПО, становится ещё труднее предотвращать и расследовать подобные инциденты.
Поэтому крайне важно соблюдать строгие стандарты безопасности, такие как те, что изложены в Приказе № 17 ФСТЭК России. Эти стандарты включают в себя разработку и внедрение надёжных систем защиты информации, а также регулярные проверки и аттестации геоинформационных систем (ГИС). Только такой подход может гарантировать надёжную защиту данных и свести к минимуму риск их утечки или несанкционированного доступа.
Mask Safe предлагает комплекс услуг, результатом оказания которых является полное соответствие информационной системы требованиям законодательства по защите информации.
Подробнее о защите ГИС читайте по ссылке.