Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.
Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.
Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.
По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.
«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.
Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.
За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.
Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:
- Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
- Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
- Fscan и Lscan — утилиты для сканирования сетей.
- Netspy — инструмент для тестирования и разведки в сети.
«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.
