ГК «Солар»: не менее 3 лет хакеры шпионили за российскими ведомствами с помощью уникального вредоноса

Эксперты центра по исследованию киберугроз Solar 4RAYS, входящего в группу компаний «Солар», выявили уникальное вредоносное ПО GoblinRAT, обладающее продвинутыми средствами маскировки. Оно было обнаружено в сетях нескольких российских государственных учреждений и ИТ-компаний, работающих на госсектор. С помощью GoblinRAT злоумышленники получали полный контроль над инфраструктурой жертв. Первые случаи заражения датируются 2020 годом, а к настоящему моменту вредоносное ПО было удалено из всех атакованных систем.

Эта атака считается одной из самых сложных и скрытых, с которыми столкнулись эксперты Solar 4RAYS. Аналогичные случаи не фиксировались в других компаниях, занимающихся кибербезопасностью.

GoblinRAT был впервые выявлен специалистами Solar 4RAYS в 2023 году в рамках расследования инцидента в ИТ-компании, предоставляющей услуги органам власти. Сотрудники компании заметили аномалии на одном из серверов: удаление системных журналов и загрузку программ для кражи паролей с контроллера домена. Эти подозрительные события стали поводом для внутреннего расследования, в котором приняли участие специалисты Solar 4RAYS.

В ходе анализа эксперты обнаружили, что GoblinRAT маскировался под легитимное приложение, а файл, запускающий вредонос, отличался от оригинала всего одной буквой в названии. Выявить это можно было только при детальном ручном анализе больших объемов данных, что и рассчитывали злоумышленники, надеясь остаться незамеченными.

Дополнительное исследование показало, что GoblinRAT не использует автоматическое закрепление: перед внедрением злоумышленники сначала изучали инфраструктуру жертвы и подбирали маскировку под одно из легитимных приложений, работающих в атакуемой системе. Такой подход указывает на высокий уровень таргетирования и профессионализма, позволивший атакам оставаться незаметными в течение нескольких лет.

Особенности GoblinRAT, затрудняющие его обнаружение:

  • Программа самоудаляется после определенного времени, если оператор не вводит специальный код;
  • При самоудалении вредоносное ПО многократно перезаписывает свои файлы случайными данными, усложняя расследование;
  • Маскируется под легитимный процесс на зараженном устройстве, меняя название и параметры командной строки и иногда работая внутри легитимного приложения;
  • Применяет метод Port knocking в серверной версии, что позволяет злоумышленникам получать доступ к закрытым сегментам инфраструктуры;
  • Данные, передаваемые к серверу управления, шифруются;
  • Использует сетевые туннели для обхода межсетевых экранов;
  • Для передачи команд использует легитимные взломанные сайты, что маскирует вредоносный трафик.

В общей сложности GoblinRAT был обнаружен в четырех организациях, где злоумышленники получили полный контроль над сетевой инфраструктурой, включая администраторские права. В некоторых случаях они имели доступ более трех лет, а кратчайшая атака длилась около шести месяцев.

«Мы смогли проследить историю развития GoblinRAT с 2020 года, но его распространение остается очень ограниченным. Коллеги из других компаний с глобальными сетями сенсоров также не находили подобных случаев. Вопрос о происхождении атаки остается открытым: ни одна известная группировка из Азии, Восточной Европы или других регионов не использовала похожие инструменты. Для создания и эксплуатации GoblinRAT атакующим потребовался высокий уровень профессионализма и мотивация. Каждая атака требовала кропотливой подготовки и множества ручных действий», — рассказал Константин Жигалов, инженер по расследованию инцидентов Solar 4RAYS.

По результатам расследования команда Solar 4RAYS разработала индикаторы компрометации и детектирующую логику для поиска активности GoblinRAT в сети, что поможет другим компаниям выявлять это вредоносное ПО.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: