Спецпроекты

Безопасность ИТ в госсекторе Техника

Китайские хакеры атаковали российские оборонные предприятия

Китайские злоумышленники использовали широкий арсенал новых и старых вредоносных программ, эксплойт к старой уязвимости в Microsoft Office и системные утилиты Windows для вывода конфиденциальных данных с оборонных предприятий в Восточной Европе, России и Афганистане.

Взять под контроль

Центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности «Лаборатории Касперского» опубликовал исследование, посвященное ряду таргетированных атак на предприятия оборонно-промышленного комплекса и государственные учреждения нескольких стран восточной Европы, в том числе России и Афганистана. Как утверждают эксперты «Лаборатории», злоумышленникам в начале 2022 г. «удалось проникнуть на десятки предприятий, а на некоторых даже полностью захватить ИТ-инфраструктуру и взять под контроль системы управления защитными решениями».

Целью атак, вероятнее всего, был кибершпионаж. Авторство атак приписывается китайской APT-группировке TA428, которая и прежде совершала рейды на восточноевропейские и азиатские организации.

Практическая атака начинается с фишинговых писем, которые содержат вредоносные документы .docx. Злоумышленники эксплуатируют старую уязвимость CVE-2017-11882, баг, затрагивающий Microsoft Office версий с 2007 SP3 по 2016 и позволяющий запускать произвольный код без дополнительных действий со стороны пользователя.

Именно этой уязвимостью хакеры пользовались для запуска вредоноса PortDoor. Эта программа уже была задействована против российских оборонных предприятий весной 2021 г. — именно тогда ее впервые описали эксперты компании Cybereason.

Омерзительная шестерка

В новой волне атак хакеры использовали, как утверждают в «Лаборатории Касперского», сразу шесть бэкдоров — вероятно, для резервирования канала связи с зараженной системой на случай, если часть вредоносных программ будет обнаружена и нейтрализована антивирусами.

Бэкдоры предоставляют обширную функциональность для контроля над зараженной системой и сбора конфиденциальных данных.

«Лаборатория Касперского»: китайская APT атаковала оборонные предприятия в России сразу шестью бэкдорами

В качестве инструмента развития атаки злоумышленники использовали многофункциональную хакерскую утилиту Ladon, которая позволяет сканировать сети, искать и использовать уязвимости, производить атаки на пароли и т. д. Также злоумышленники активно используют стандартные утилиты Microsoft Windows.

Финальным этапом развития атаки является захват контроллера домена и получение полного контроля над всеми рабочими станциями и серверами организации. Получив права доменного администратора, злоумышленники приступают к поиску и выводу документов и других файлов с конфиденциальными данными на свои серверы. Они же используются для управления операциями вредоносов. При этом, как указывается в публикации, система управляющих серверов была двухэшелонной: первый составляли серверы, расположенные в разных странах; информация с них, однако, затем закачивалась на сервер второго эшелона, расположенный уже в Китае.

Особое внимание на себя обращает само содержание фишинговых писем. Помимо того, что они написаны на русском (и, судя по скриншотам, без заметных ошибок), в них содержится конфиденциальная информация, недоступная в публичных источниках.

При формировании писем злоумышленники корректно вводили полные имена сотрудников, которые отвечают в организации за обработку закрытых сведений, и внутренние кодовые названия проектов, над которыми работала атакованная организация. В самих документах также содержалась информация, в публичном поле не доступная. Эксперты «Лаборатории Касперского» считают, что оригинал документа был выкран из систем другой организации оборонно-промышленного комплекса, после чего в него внедрили эксплойт к уязвимости.

Вредоносный документ можно идентифицировать визуально: в нем содержится «объект-уравнение со странным содержимым».

Кроме PortDoor эксперты обнаружили в нескольких зараженных системах вредоносную программу nccTrojan. Это тоже инструмент из ранее идентифицированного арсенала TA428. В январе 2022 г. обнаружилась ее новая, усовершенствованная версия.

Этот троянец загружается с сервера управления PortDoor в виде архива .cab, который содержит DLL-библиотеку с произвольным именем. Вместе с ним закачивается специальный компонент-установщик, который регистрирует DLLncc Trojan в качестве системной службы. Этим вредоносной программе обеспечивается автоматический запуск после загрузки системы.

Сверх этого злоумышленники загружают в атакованные системы вредоносы Cotx и DNSep, впервые описанные компанией Dr.Web, Logtu и CotSam. Все эти бэкдоры, кроме CotSam, уже так или иначе «засвечены» в атаках. CotSam наблюдается впервые.

«Использование такого обширного арсенала свидетельствует о высокой приоритетности атак, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Хакеры искали что-то исключительно важное для них и их руководства, и, хотя прямо об этом в публикации Kaspersky ICSCERT не говорится, скорее всего, атаки были успешными».

Роман Георгиев

Короткая ссылка