Solar 4RAYS обнаружили новый бэкдор для кражи баз данных, атакующий российские компании

Специалисты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» расследовали атаку на одну из телеком-компаний и выявили новый бэкдор IDFKA, который позволил злоумышленникам получить доступ к базе данных абонентов и все еще представляет угрозу для российских компаний. Он хорошо скрывается от обнаружения, что помогло хакерам находиться в инфраструктуре жертвы более 10 месяцев. Об этом специалисты ГК «Солар», архитектора комплексной кибербезопасности, рассказали в докладе на SOC Forum 2025.

В конце мая 2025 года эксперты центра противодействия кибератакам Solar JSOC ГК «Солар» зафиксировали запуск подозрительных команд в инфраструктуре телеком-оператора от имени служебной учетной записи, которая администрировалась IT-подрядчиком. Эксперты «Солара» подключились к расследованию инцидента и выяснили, что в сеть подрядчика проникли сразу две хакерские группировки — азиатская Snowy Mogwai, атакующая с целью шпионажа, и еще не до конца изученная NGC5081.

Оба объединения атаковали подрядчика с целью кражи данных у телеком-компании. NGC5081 для управления учетной записью жертвы использовала два бэкдора — азиатский Tinyshell и неизвестный ранее вредонос, который эксперты Solar 4RAYS назвали IDFKA. Бэкдор был обнаружен в процессе реагирования, подозрительный файл мимикрировал под один из легитимных сервисов. Схожее название фигурировало в одном из компонентов бэкдора — оно отсылает к чит-коду в популярной компьютерной игре Doom (IDKFA), который дает игроку все оружие, боеприпасы и ключи.

IDFKA был разработан атакующими с нуля — это говорит о высокой технической подготовке группировки. Сам он написан на нестандартном языке Rust, что усложняет его исследование ИБ-специалистами. Бэкдор использует собственный протокол L4, работающий поверх IP, что позволяет скрывать сетевую активность от ИБ-мониторинга. Вредонос выполняет множество функций — от простого управления устройством жертвы до продвижения и сканирования внутренней инфраструктуры компании-подрядчика.

Бэкдор помогал группировке незаметно находиться в инфраструктуре подрядчика не менее 10 месяцев. С его помощью хакеры как минимум могли выгружать данные баз об абонентах и звонках — есть вероятность, что они были украдены. При этом фактических следов похищения данных эксперты Solar 4RAYS не обнаружили. Сетевая инфраструктура бэкдора всё еще активна — это значит, что хакеры могут его применять в атаках и на другие организации.

Специалисты Solar 4RAYS удалили вредоносное ПО из инфраструктуры телеком-оператора и устранили последствия атаки NGC5081. В дополнение эксперты Solar 4RAYS опубликовали индикаторы компрометации и Yara-правило для выявления бэкдора.

Для защиты от IDFKA эксперты Solar 4RAYS рекомендуют:

• Осуществлять мониторинг IT-инфраструктуры на предмет обращения к известным управляющим серверам NGC5081;
• Быть внимательнее к файлам, написанным на Rust;
• Использовать комплексные средства защиты от киберугроз;
• Регулярно проводить оценку компрометации инфраструктуры.