СКУДная атака: азиатские хакеры 1,5 года шпионили за российским ведомством

Центр исследования киберугроз Solar 4RAYS ГК «Солар» обнаружил атаку азиатских злоумышленников, которые 1,5 года скрывались в сети российской госорганизации и собирали конфиденциальные данные. Интересный нюанс: хакеры долго прятались в системе контроля и управления доступом (СКУД, в нее входят турникеты, кодовые замки и т.п.), которая не была подключена к мониторингу ИБ. В результате проведенного реагирования эксперты Solar 4RAYS помогли очистить зараженные системы от вредоносного ПО, а также выдали организации рекомендации по повышению защищенности.

Атакованное ведомство является клиентом центра противодействия кибератакам Solar JSOC. Однако к сервису мониторинга организация подключила только некоторые свои системы. А часть сети, включая СКУД, находилась вне мониторинга инцидентов, что и сыграло на руку злоумышленникам. Когда в марте 2023 года они проникли на компьютер, являющийся частью этой системы, их действия никто не заметил. Атакующим удавалось продвигаться по сети жертвы до тех пор, пока они не дошли до систем, контролируемых Solar JSOC, где сразу же были обнаружены. Следующим шагом было проведено полноценное расследование и реагирование на инцидент.

Группировка, в соответствии с таксономией Solar 4RAYS, получила название Erudite Mogwai. В код своего вредоносоного ПО злоумышленники добавляют отсылки к музыкальным и литературным произведениям, поэтому они и получили эпитет «erudite» (эрудированный). Как минимум с 2017 года Erudite Mogwai (также известная в индустрии как Space Pirates) атакует госучреждения, а также высокотехнологичные предприятия (например, авиационно-космическая и электроэнергетическая индустрии). Жертвы хакеров располагались в России, а также в Грузии и Монголии.

Для первоначального проникновения в инфраструктуру злоумышленники взломали публично доступный веб-сервис, а через него они попали на недоменный компьютер, являющийся частью инфраструктуры СКУД.

«Недоменные компьютеры находятся вне домена и администрируются (обновляются или настраиваются) вручную. В большинстве организаций это делается нерегулярно. К тому же, обычно в таких системах используются локальные учетные записи с привилегиями администратора, пароль от которых может быть даже не установлен. А если пароль и есть, то его делают очень простым, чтобы не забыть, и потом никогда не обновляют. Такие «забытые навеки системы» становятся находкой для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и полноценный ИБ-мониторинг всей сети так важны для надежной киберзащиты», – пояснил эксперт центра исследования киберугроз Solar 4RAYS Денис Чернов. 

После проникновения в сеть, злоумышленники начали неспеша развивать атаку. Для продвижения по системам они использовали видоизмененный инструмент для проксирования трафика Stowaway. С его помощью злоумышленники прятали коммуникации между зараженными компьютерами и серверами управления.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем организации, включая систему администратора. В рамках развития атаки они применили более 20 различных инструментов, которые удаляли после использования. Интересно, что многие open-source утилиты из арсенала злоумышленников были созданы китайскими разработчиками, а использованная в атаке версия утилиты Stowaway значительно отличается от оригинала. По всей видимости, Erudite Mogwai увидели в ней большую ценность и фактически создали собственную ветку модификаций Stowaway, специально под свои нужды. Среди других интересных инструментов можно выделить:

• Shadowpad Light (также известный как Deed RAT) – бэкдор, использующий технику Side Loading для повышения скрытности;
• Keylogger CopyCat – программа, которая перехватывает нажатие клавиш;
• Fscan, Lscan – open-source инструменты для быстрого сканирования и тестирования сетей;
• Netspy – утилита для обнаружения доступных внутренних сегментов сети;
• LuckyStrike Agent – многофункциональный бэкдор, способный использовать в качестве C2 OneDrive.

«Тактики и техники, используемые Erudite Mogwai, направлены, прежде всего, на обеспечение длительного и скрытного присутствия в атакованных системах. Например, первоначальное проникновение и развитие атаки они осуществили в незащищенном сегменте атакованной сети, что позволило им долго оставаться незамеченными. Это характерная черта профессиональных группировок, специализирующихся на кибершпионаже», – добавил Денис Чернов.

Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемых со всех сервисов и продуктов «Солара», крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели 200+ расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.