В ГК «Солар» зафиксировали атаку азиатских хакеров, которые в течение полутора лет оставались незамеченными в сети одного из российских государственных учреждений, собирая конфиденциальные данные. Об этом в компании сообщили изданию Forbes.
Компания предпочла не раскрывать название организации и степень ущерба, причиненного злоумышленниками.
Специалисты выяснили, что следы атаки были найдены в системе контроля и управления доступом (СКУД), которая не была интегрирована в системы мониторинга информационной безопасности. Группа, вероятно, имеет восточно-азиатское происхождение, так как ее методы и инструменты типичны для злоумышленников из этого региона.
Хакеры воспользовались тем, что часть сети, включая СКУД, оставалась вне контроля инцидентов. В марте 2023 года они получили доступ к одному из компьютеров в этой системе, и их действия остались незамеченными. Злоумышленники смогли перемещаться по сети до тех пор, пока не достигли систем, управляемых Solar JSOC.
ИБ-специалисты назвали эту группировку Erudite Mogwai. Они отмечают, что хакеры добавляют ссылки на музыкальные и литературные произведения в код своего вредоносного ПО, что и дало им это название. С 2017 года Erudite Mogwai, также известная как Space Pirates, атакует государственные учреждения и высокотехнологичные компании, включая авиационно-космическую и энергетическую отрасли. Жертвами группировки стали как российские, так и грузинские и монгольские организации.
Чтобы получить первоначальный доступ к инфраструктуре, злоумышленники взломали общедоступный веб-сервис и через него проникли на компьютер, который не принадлежал доменной сети.
«Недоменные компьютеры администрируются, обновляются или настраиваются вручную. В большинстве организаций это происходит нерегулярно», – объяснил эксперт киберугроз Solar 4RAYS Денис Чернов. По словам эксперта, в таких системах часто используются локальные учетные записи с высокими привилегиями, пароли к которым могут отсутствовать или быть простыми и не обновляться.
После вторжения в систему хакеры начали постепенно развивать свою атаку. Для этого они использовали модифицированную версию инструмента для проксирования трафика Stowaway, который позволял скрывать связь между зараженными компьютерами и управляющими серверами. За полтора года Erudite Mogwai скомпрометировали несколько десятков систем и применили более 20 различных инструментов, которые удаляли после использования. Замечено, что многие open-source утилиты, использованные хакерами, были разработаны китайскими программистами, а версия утилиты Stowaway существенно отличалась от оригинала. «По всей видимости, Erudite Mogwai увидели в ней большую ценность и фактически создали собственную ветку модификаций Stowaway, специально под свои нужды», – отметили в ГК «Солар».
Ранее, согласно другому исследованию ГК «Солар», число вирусов-майнеров, которыми заражены госорганизации, возросло за четвертый квартал 2024 года на 9%. На их долю приходится более четверти всех вирусов в государственных учреждениях. При этом в частном секторе таких случаев значительно меньше.
F6 опубликовала главные киберугрозы 2025 года
