Спецпроекты

Безопасность Администратору Новости поставщиков Пользователю Стратегия безопасности

В российских госорганизациях обнаружено уникальное вредоносное ПО, ворующее конфиденциальные данные

В четырех российских госорганизациях было обнаружено вредоносное ПО GoblinRAT, внедренное через ИТ-подрядчика и маскирующееся под легитимное ПО. GoblinRAT похищал конфиденциальную информацию, в том числе с компьютеров с ограниченным доступом в интернет. Создателями вредоносного ПО могут быть прогосударственные хакеры.

Вредоносное ПО в ИТ-подрядчике российских госорганизаций

ГК «Солар» («дочка» «Ростелекома») сообщила об обнаружении вредоносного ПО GoblinRAT. Оно было зафиксировано командой Solar 4RAYS (входит в ГК «Солар») в ходе расследования инцидентов в ИТ-компании, предоставляющей услуги органам госвласти (названия затронутых организаций не раскрываются). Отчет об инцидента был продемонстрирован в ходе конференции SOC Forum 2024.

Инцидент был зафиксирован в 2023 г., когда штатные специалисты заметили факты удаления системных журналов на одном из серверов, выгрузки хешей паролей пользователей с контроллера домена, а также загрузки утилиты для похищения паролей учетных записей Secretsdump с контроллера домена. ИБ-специалисты компании попытались самостоятельно расследовать инцидент, но затем обратились за помощью к команде Solar 4RAYS.

Сложность обнаружения вредоносного ПО

Команда Solar 4RAYS обратила внимание, что атакующие используют только легитимное ПО, а вредоносное ПО отсутствует. В результате пришлось исследовать все внутренние и внешние сервера заказчика. В ходе анализа было обнаружено, что запись результата работ команд, отображающих информацию об операционной системе, происходит в переменную А. Такое поведение может свидетельствовать о намерение злоумышленника замести следы.

В четырех российских госорганизациях было обнаружено вредоносное ПО, внедренное через ИТ-подрядчика

Также переменная окружения Histfile была установлена в значении "/dev/null", что означает отключение логирования команд в активной сессии командного интерпретатора. Кроме того, был обнаружен процесс "Zabbix_agentd", мимикрирующий под легитимное ПО для мониторинга северной активности Zabbix. Все это свидетельствовало о подозрительной активности.

По результатам расследования был обнаружен вредоносный код, который маскировался под процесс легитимного приложения. Он получил название GoblinRAN. «Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии, - заявили в ГК «Солар». - Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными».

Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления. «Всякий раз атакующие сначала тщательно изучали особенности целевой архитектуры (используемое ПО и т.п.) и лишь потом внедряли вредоносное ПО под уникальной маскировкой - обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе, - добавили в ГК «Солар». - Это явно указывает на таргетированный характер атаки. Высокий уровень технической подготовки атакующих и знание принципов работы операционных система позволили им оставаться незамеченными в течение нескольких лет».

GoblinRAT имеет ряд особенностей, которые затрудняют его обнаружение: вредоносное ПО самоуничтожается спустя определенное время, если оператор не подключается к нему и не сообщает специальный код (это необходимо на случай потери доступа злоумышленника к компьютеру); удаляя себя, вредоносное ПО несколько раз перезаписывает содержимое своих файлов на жестком диске случайными символами, чтобы максимально сложить расследование; GobilnRAT маскируется под уже имеющийся на заражающей машине процесс, изменяя его название и аргументы командной строки; в некоторых случаях GobliRAT работал внутри легитимного приложения; злоумышленники применяют технику Port knocking («стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет.

Передаваемые данные в рамках соединение с сервером управления вредоносного ПО шифруются, а для входа ограничений межсетевых экранов используется построение сетевых туннелей. Кроме того, в качестве управляющих серверов (через которые оператор отдает команды вредоносному ПО) злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ритейлеры). Это позволило замаскировать вредоносный трафик. А проникновение в компьютеры, не подключенные к интернету, осуществлялось путем создания прокси-сервера.

Также GoblinRAT пытался встроиться в утилиту Atop, отвечающую за мониторинг процессов в Linux, и подменял метки времени. В результате ни EDR (класс решений для обнаружения и изучения вредоносной активности на конечных точках), ни SIEM (обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений, и обеспечивает реакцию на них) не могли найти вредоносное ПО.

Кто мог создать GobliRAT

После обнаружения вредоносного ПО GobilnRAT были созданы индикаторы компрометации, благодаря чему данное ПО также было обнаружено еще в трех организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой: они имели удаленный доступ с правами администратора ко всем сегментам сети. Как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ к течении трех лет - то есть с 2020 г., а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.

«Для создания и использования GoblinRAT злоумышленники должны были обладать очень высоким уровнем профессионализма и быть хорошо замотивированными», - полагает инженер Solar 4RAYS Константин Жигалов. - Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение вредоносного ПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки их других регионов. Наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях».

GoblinRAT интересует только конфиденциальная информация, хранящаяся на серверах госорганов и их подрядчиков, в том числе в сетях с ограниченным доступом к интернету. По мнению ГК «Солар», GoblinRAT может иметь одно из следующих происхождений: операцией известной прогосударственной группировки, кардинально обновившей свои инструменты и тактики; свидетельством существования новой прогударственной группировки или профессиональных наемников; делом рук мотивированного и крайне профессионального взломщика-одиночки».

Статистики хакерских атак на российские организации

По данным ГК «Солар», в 2023 г. на государственные организации пришлось 77% атак, на промышленность - 11%, на телекоммуникации - 9%, 3% - на финансовый сектор. В 2024 г. на государственный сектор пришлось 35% атак, на промышленность - 17%, на телекоммуникации - 8%, на облачных провайдеров и Ит-разработку - по 6%, на финансовый сектор - 5%, на медицину и общественные организации - по 4%.

В 2023 г. основной целью атакующих был активизм и уничтожение данных - 45%. 37% пришлось на шпионаж, 18% - на уничтожение данных. В 2024 г. шпионаж вышел на первое место - на него пришлось 54%. На втором месте находятся финансы - 20%, на уничтожение данных и активизм пришлось по 11%.

Какие группировки больше всего атакуют Россию

После начала специальной военной операции (СВО) России на Украине российские организации стали активно подвергаться хакасским атакам из Украины. В 2023-2024 гг. проукраинские группировки проводят как целевые атаки, так и массово эксплуатируют уязвимости в системах. до которых могут «дотянуться». Их основными задачами является шпионаж и уничтожение инфраструктуры. В 2024 г. 70% случаев атаки пришлись на проукраинские группировки: Shedding Zmiy, Liffting Zmiy, Fairy Trickster (Head Mare), Morbid Trickster (Morlock) и Moonshine Trickster (Werewolves).

Также чувствуется влияние группировки Obstinate Mogwai из Юго-Восточной Азии. Она работает против государственных организаций, ее задачей является только шпионаж. «Происходящее является большим пентестов (тестирование на проникновение) российской инфраструктуры, - считает инженер Solar 4RAYS Геннадий Сазонов. - Это достаточно болезненный процесс, но некоторые компании сильно обжигаются и повышают уровень своей безопасности. Атакующие пока опережают, но грамотная реализация защитных мер может помочь снизить ущерб от атаки».

Игорь Королев

Короткая ссылка