Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.

Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.

Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.

По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.

«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.

Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.

Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:

  • Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
  • Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
  • Fscan и Lscan — утилиты для сканирования сетей.
  • Netspy — инструмент для тестирования и разведки в сети.

«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сообщество разработчиков Linux хочет снять с поддержки CPU i486 и i586

Разработчик ядра Linux Инго Молнар (Ingo Molnar) вновь поднял в сообществе вопрос о снятии с поддержки устаревших процессоров Intel 486 и ранних моделей Intel 586 — антиквариата, которым, по его словам, почти никто уже не пользуется.

Предложенный Молнаром набор патчей позволит существенно сэкономить время на обеспечении совместимости, оставив в силе поддержку лишь 32-битных Pentium со счетчиком меток времени (TSC), умеющих работать с инструкцией CMPXCHG8B.

Срок поддержки x86-32 во многих дистрибутивах заканчивается, а Linux упорно продолжает тащить наследие 90-х, тогда как отказ от него снизил бы сложность кода и трудоемкость техобслуживания.

«В x86-32 предусмотрено множество аппаратных средств эмуляции для поддержки древних 32-битных CPU, которые сейчас используют единицы, — подчеркивает Молнар, озвучивая свое предложение. — Необходимость обеспечения совместимости иногда даже вызывает проблемы, на решение которых приходится тратить драгоценное время».

В 2012 году по той же причине сообщество Linux сняло с поддержки Intel 386, а в 2019-м Линус Торвальдс предложил также распрощаться с дискетами. Вопрос о депрекации Intel 486 создатель ядра Linux поднял в 2022 году, но тогда обсуждение в сообществе не дало искомого результата; возможно, на этот раз консенсус будет достигнут.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru