APT-группу ChamelGang интересуют секреты энергетики и авиапрома России

Татьяна Никитина 30 Сентября 2021 - 18:07

Корпорации

Государство

Positive Technologies

Эксплойты

Уязвимости программ

Целевые атаки

Таргетированные атаки

Атаки на АСУ ТП

...

APT-группу ChamelGang интересуют секреты энергетики и авиапрома России

По данным Positive Technologies, отличительной чертой новой APT-группы является проведение атак типа trusted relationship — через взлом инфраструктуры организаций, состоящих в доверительных отношениях с намеченной жертвой. Злоумышленники также широко используют поддельные сайты и SSL-сертификаты известных ИТ-компаний.

Атаки на цепочку доверия, как пояснили эксперты, отличаются от supply chain (атак на цепочку поставок) тем, что позволяют обходиться без заражения. Чтобы получить доступ к ресурсам целевой организации, участники объявившейся полгода назад группировки (в PT ее именуют ChamelGang) взламывают системы другой компании — партнера или дочки — и используют права сотрудников на прямую связь с мишенью.

Хакерская активность ОПГ нацелена на кражу информации из скомпрометированных сетей. Совокупно исследователи выявили 15 пострадавших организаций в 10 странах, включая Россию и США. В нашей стране круг интересов ChamelGang пока ограничен отраслями экономики, объединенными в топливно-энергетический комплекс, и авиационной промышленностью.

Почти на всех взломанных узлах установлено программное обеспечение Microsoft Exchange Server — по всей видимости, хакеры воспользовались уязвимостями ProxyLogon или ProxyShell. Зафиксирован также случай проникновения в сеть через дыру CVE-2017-12149 в сервере приложений JBoss.

Боевой арсенал ChamelGang включает уникальные разработки: приложение для проверки удаленной связи ProxyT, работающий в памяти загрузчик BeaconLoader, пассивный бэкдор DoorMe. Остальные инструменты новой APT-группы хорошо известны, в том числе Cobalt Strike Beacon, прокси-сервер FRP и утилита Tiny SHell.

«Среди обнаруженных нами образцов ВПО самый интересный — бэкдор DoorMe, — комментирует Денис Гойденко, руководитель отдела PT по реагированию на ИБ-угрозы. — По сути, он является нативным модулем IIS, который регистрируется как фильтр, через который проходит обработка HTTP-запросов и ответов. Его принцип работы нераспространенный: бэкдор обрабатывает только те запросы, в которых задан верный параметр cookie. На момент расследования инцидента DoorMe не детектировался средствами антивирусной защиты, и хотя техника установки этого бэкдора известна, за последнее время мы впервые видим ее использование».

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 09:15

Соответствие законодательству РФ Корпорации Государство

Российский софт готовят к отзыву западных сертификатов

Российская ИТ-отрасль готовится к сценарию, который ещё недавно казался маловероятным: западные удостоверяющие центры могут начать массово отзывать сертификаты подписи программного кода у российских разработчиков. Чтобы не остаться без работающего софта, крупнейшие игроки рынка уже создают собственную систему доверия.

Как выяснил РБК, на базе Национального технологического центра цифровой криптографии работает группа «Единое пространство доверия», в которую входят «Астра», «Сбертех», «Базальт СПО», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие компании.

Они разрабатывают Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен заменить ушедшие западные сервисы выдачи сертификатов подписи кода.

Проект уже вышел за рамки теории. По словам главы «КриптоПро» Станислава Смышляева, центр работает в тестовом режиме, а разработчики Astra Linux, «Альт», РЕД ОС, ROSA, «Авроры» и ряда ИБ-продуктов уже протестировали выпуск сертификатов и проверку подписанного программного обеспечения.

Проблема стала особенно актуальной после того, как в июне японская GlobalSign начала отзывать сертификаты безопасности у российских сайтов. В отрасли опасаются, что следующим шагом могут стать сертификаты для подписи программ.

Если такой сценарий реализуется, последствия будут серьезными. Операционные системы перестанут доверять программам с отозванными сертификатами: где-то появятся предупреждения, а где-то запуск может быть полностью заблокирован. Для разработчиков это означает риск остановки поставок обновлений и новых версий продуктов.

Особенно болезненной ситуация может стать для компаний, чьи решения работают в Windows и других зарубежных операционных системах. По данным рынка, Windows до сих пор используется более чем в 80% российских организаций.

В Минцифры утверждают, что на случай проблем уже есть резервный план. Национальный удостоверяющий центр получил право выпускать отечественные сертификаты подписи кода, а параллельно тестируется использование российских криптографических алгоритмов ГОСТ в Linux и Android.

По сути, отрасль строит собственный аналог национальной платежной системы, только для программного обеспечения. Логика простая: если зарубежная инфраструктура доверия однажды отключится, российский софт должен продолжить работать без сбоев и риска подмены кода злоумышленниками.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!