DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

СМИ Специалисты изучили атаки на российские НИИ

GLOV

Авторитет
Проверенный продавец

GLOV

Авторитет
Проверенный продавец
Статус
Offline
Регистрация
22 Июн 2018
Сообщения
1,508
Реакции
13
Покупки через Гарант
0
Продажи через Гарант
0
Осенью 2020 года за помощью к специалистам «Доктор Веб» обратился неназванный российский научно-исследовательский институт. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о присутствии малвари на одном из серверов в локальной сети.

В ходе расследования эксперты компании установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Хуже того, изучение деталей инцидента показало, что сеть предприятия была скомпрометирована давно и, судя по всему, не одной APT-группой.


Атаки на НИИ
Исследователи пишут, что первая хакерская группа скомпрометировала внутреннюю сеть института еще осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети НИИ был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.

Вторая хакерская группа скомпрометировала сеть института не позднее апреля 2019, и в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. К тому же исследователи выяснили, что примерно в то же время — в мае 2019 года — Skeye был внедрен в сеть другого российского НИИ.

В июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием того же бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.

Более того, в декабре 2017 года на серверы обратившегося к экспертам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства малвари ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. Аналитики пишут, что располагают данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.


Атрибуция
Деятельность первой APT-группы не позволила экспертам однозначно идентифицировать ее как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группировка активна как минимум с 2015 года.

Второй APT-группой, атаковавшей НИИ, по мнению «Доктор Веб», была TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода приводятся следующие факты:

  • в коде бэкдоров DNSepи BackDoor.Cotx имеются явные пересечения и заимствования, и автор бэкдора DNSep явно имел доступ к исходным кодам Cotx;
  • Skeye.1и Trojan.Loader.661 использовались в рамках одной атаки, при этом последний является известным инструментом TA428;
  • бэкдоры, проанализированные в рамках атак, имеют пересечения в адресах управляющих серверов и сетевой инфраструктуре с бэкдорами, используемыми группировкой TA428.
На иллюстрациях ниже приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy, а также изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx.


Индикаторы компрометации доступны на GitHub компании, тогда как сравнительный анализ кода обнаруженных бэкдоров и технические описания малвари можно найти по ссылкам приведенным выше.
 
Сверху