Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.

Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.

Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.

По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.

«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.

Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.

Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:

  • Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
  • Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
  • Fscan и Lscan — утилиты для сканирования сетей.
  • Netspy — инструмент для тестирования и разведки в сети.

«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies будет развивать кибербезопасность в вузах Индонезии

Во время международного киберфестиваля Positive Hack Days компания Positive Technologies подписала соглашения о сотрудничестве с тремя университетами Индонезии: Business Center Alumni UI (KBA UI), Universitas Muhammadiyah Jakarta и Universitas NU NTB.

Главная цель — помочь повысить уровень подготовки специалистов в сфере кибербезопасности в Юго-Восточной Азии.

В рамках партнёрства планируется запуск совместных образовательных проектов: открытие учебных классов для практики, обучение преподавателей и разработка курсов по защите и атаке в информационной среде, а также по безопасной разработке. В университетах появится киберсимуляционная платформа EdTechLab, с помощью которой студенты смогут отрабатывать навыки на практике.

По словам Юлии Данчиной, директора по обучению клиентов и партнёров Positive Technologies, сотрудничество с индонезийскими вузами должно помочь студентам и преподавателям получить прикладные знания, которые актуальны в условиях роста киберугроз.

По данным исследований компании, Индонезия — одна из стран региона, где особенно остро стоит вопрос кибербезопасности. 28% объявлений на теневых форумах Юго-Восточной Азии связано именно с этой страной, а в 62% успешных атак на организации происходят утечки конфиденциальных данных. При этом университеты и научные учреждения входят в топ-5 наиболее пострадавших отраслей.

Несмотря на значительные успехи в цифровизации и повышении цифровой грамотности, страна сталкивается с новыми вызовами в сфере ИБ.

Юди Дарма, представитель министерства науки и технологий Индонезии, заявил, что подготовка специалистов в этой сфере — ключ к устойчивому развитию национальной цифровой инфраструктуры. Сотрудничество с международными игроками должно помочь в решении этой задачи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru