В
российских• Россия госорганизациях
обнаружено• Археология » Артефакт (археология) уникальное вредоносное
ПО, ворующее
конфиденциальные
данные
В российских• Россия госорганизациях обнаружено• Археология » Артефакт (археология) уникальное вредоносное ПО, ворующее
конфиденциальные данные
Posted on 12.11.2024 12.11.2024 Categories Новости , Техника и технологии
Комментировать
В четырех российских• Россия госорганизациях было обнаружено• Археология » Артефакт (археология) вредоносное ПО GoblinRAT,
внедренное через ИТ-подрядчика и маскирующееся под легитимное ПО. GoblinRAT
похищал конфиденциальную информацию, в том числе с компьютеров• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер с ограниченным
доступом в интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет » Доступ в интернет. Создателями вредоносного ПО могут быть прогосударственные
хакеры, пишет cnews.ru .
Вредоносное ПО в ИТ-подрядчике российских• Россия госорганизаций
ГК «Солар» («дочка» «Ростелекома• Объект организация » Организации по алфавиту » Организации на Ро » Ростелеком») сообщила об обнаружении вредоносного ПО
GoblinRAT. Оно было зафиксировано командой Solar 4RAYS (входит в ГК «Солар») в
ходе расследования инцидентов в ИТ-компании• Информационные технологии » ИТ-компании
• Телекоммуникации и связь » Компьютерная сеть » Интернет » ИТ-компании
• Экономика » Бизнес » ИТ-компании, предоставляющей услуги органам
госвласти (названия затронутых организаций не раскрываются). Отчет об
инцидента• Происшествия был продемонстрирован в ходе конференции SOC Forum 2024.
Инцидент• Происшествия был зафиксирован в 2023 г., когда штатные специалисты заметили факты
удаления системных журналов на одном из серверов• Телекоммуникации и связь » Компьютерная сеть » Серверы, выгрузки хешей паролей
пользователей с контроллера домена• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена, а также загрузки утилиты• Информационные технологии » Информатика » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита для похищения• Происшествия
паролей учетных записей• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись Secretsdump с контроллера домена• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена. ИБ-специалисты
компании• Объект организация » Организации по алфавиту » Организации на Се » Сенсор (компания) попытались самостоятельно расследовать инцидент• Происшествия, но затем обратились
за помощью к команде Solar 4RAYS.
Сложность обнаружения вредоносного ПО
Команда Solar 4RAYS обратила внимание, что атакующие• Происшествия используют только
легитимное ПО, а вредоносное ПО отсутствует. В результате пришлось исследовать
все внутренние и внешние сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы заказчика. В ходе анализа было обнаружено• Археология » Артефакт (археология),
что запись результата работ команд, отображающих информацию об операционной
системе• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы, происходит в переменную А. Такое поведение может свидетельствовать о
намерение злоумышленника замести следы.
Также переменная окружения• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Системные переменные Windows
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системные переменные Windows
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системные переменные Windows Histfile была установлена в значении
/dev/null• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null , что означает отключение логирования команд в активной
сессии командного интерпретатора. Кроме того, был обнаружен• Происшествия процесс
Zabbix_agentd , мимикрирующий под легитимное ПО для мониторинга
северной активности Zabbix. Все это свидетельствовало о подозрительной
активности.
По результатам расследования был обнаружен• Происшествия вредоносный код• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус, который
маскировался под процесс легитимного приложения• Телекоммуникации и связь » Компьютерная сеть » Серверы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись. Он получил название
GoblinRAN. «Параметры вредоносного процесса ничем не выделялись, а запускавший
его файл отличался от легитимного всего одной буквой в названии,
заявили в ГК «Солар». Заметить такую деталь можно только при ручном
анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что
никто не будет делать такую кропотливую работу, и они останутся
незамеченными».
Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического
закрепления. «Всякий раз атакующие• Происшествия сначала тщательно изучали особенности
целевой архитектуры (используемое ПО и т.п.) и лишь потом внедряли вредоносное
ПО под уникальной маскировкой обязательно под личиной одного из
приложений• Телекоммуникации и связь » Компьютерная сеть » Серверы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, работающих на конкретной атакуемой• Происшествия системе, добавили в ГК
«Солар». Это явно указывает на таргетированный характер атаки. Высокий
уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) технической подготовки атакующих• Происшествия и знание принципов работы
операционных система• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы позволили им оставаться незамеченными в течение
нескольких лет».
GoblinRAT имеет ряд особенностей, которые затрудняют его обнаружение:
вредоносное ПО самоуничтожается спустя определенное время, если оператор не
подключается к нему и не сообщает специальный код (это необходимо на случай
потери доступа злоумышленника к компьютеру• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер); удаляя себя, вредоносное ПО
несколько раз перезаписывает содержимое своих файлов на жестком диске
случайными символами, чтобы максимально сложить расследование; GobilnRAT
маскируется под уже имеющийся на заражающей машине процесс, изменяя его
название и аргументы командной строки• Информационные технологии » Информатика » Программирование » Программное обеспечение » Интерфейс командной строки
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Интерфейс командной строки
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Интерфейс пользователя » Текстовый интерфейс » Интерфейс командной строки
• Информационные технологии » Информатика » Программирование » Интерфейс пользователя » Текстовый интерфейс » Интерфейс командной строки
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Интерфейс командной строки
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Интерфейс пользователя » Текстовый интерфейс » Интерфейс командной строки; в некоторых случаях GobliRAT работал
внутри легитимного приложения• Телекоммуникации и связь » Компьютерная сеть » Серверы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись; злоумышленники применяют технику Port knocking
(«стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить
даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет » Доступ в интернет.
Передаваемые данные в рамках соединение с сервером• Телекоммуникации и связь » Компьютерная сеть » Серверы управления вредоносного ПО
шифруются, а для входа ограничений межсетевых экранов• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны используется построение
сетевых туннелей. Кроме того, в качестве управляющих серверов• Телекоммуникации и связь » Компьютерная сеть » Серверы (через которые
оператор отдает команды вредоносному ПО) злоумышленники использовали
легитимные взломанные сайты (например, сайт онлайн-ритейлеры). Это позволило
замаскировать вредоносный трафик. А проникновение в компьютеры• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер, не
подключенные к интернету, осуществлялось путем создания прокси-сервера.
Также GoblinRAT пытался встроиться в утилиту• Информационные технологии » Информатика » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Прикладное программное обеспечение » Утилита Atop, отвечающую за мониторинг
процессов в Linux, и подменял метки времени. В результате ни EDR (класс
решений для обнаружения и изучения вредоносной активности на конечных точках),
ни SIEM (обеспечивает анализ в реальном времени событий безопасности,
исходящих от сетевых устройств и приложений• Телекоммуникации и связь » Компьютерная сеть » Серверы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, и обеспечивает реакцию на них) не
могли найти вредоносное ПО.
Кто мог создать GobliRAT
После обнаружения вредоносного ПО GobilnRAT были созданы индикаторы
компрометации, благодаря чему данное ПО также было обнаружено• Археология » Артефакт (археология) еще в трех
организациях, и в каждой из них атакующие• Происшествия смогли получить полный контроль над
целевой инфраструктурой: они имели удаленный доступ с правами администратора
ко всем сегментам сети. Как минимум в одной из атакованных• Происшествия инфраструктур
злоумышленники имели такой доступ к течении трех лет то есть с 2020
г., а самая «непродолжительная» атака операторов GoblinRAT длилась около шести
месяцев.
«Для создания и использования GoblinRAT злоумышленники должны были обладать
очень высоким уровнем• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) профессионализма и быть хорошо замотивированными»,
полагает инженер Sloar 4RAYS Константин Сигалов. Ключевым
вопросом остается атрибуция атаки: артефактов• Археология » Артефакт (археология), указывающих на происхождение
вредоносного ПО, не обнаружено• Археология » Артефакт (археология). Подобных инструментов не демонстрировали ни
азиатские, ни восточноевропейские группировки, ни группировки их других
регионов. Наши коллеги из других ИБ-компаний• Объект организация » Организации по алфавиту » Организации на Се » Сенсор (компания) с глобальными сетями сенсоров• Объект организация » Организации по алфавиту » Организации на Се » Сенсор (компания) не
обнаружили• Археология » Артефакт (археология) ничего похожего в своих коллекциях».
GoblinRAT интересует только конфиденциальная информация, хранящаяся на
серверах• Телекоммуникации и связь » Компьютерная сеть » Серверы госорганов и их подрядчиков, в том числе в сетях с ограниченным
доступом к интернету• Телекоммуникации и связь » Компьютерная сеть » Интернет » Доступ в интернет. По мнению ГК «Солар», GoblinRAT может иметь одно из
следующих происхождений: операцией известной прогосударственной группировки,
кардинально обновившей свои инструменты и тактики; свидетельством
существования новой прогударственной группировки или профессиональных
наемников; делом рук мотивированного и крайне профессионального
взломщика-одиночки».
Статистики хакерских атак• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты
• Безопасность » Компьютерная безопасность » Атаки и эксплойты на российские• Россия организации
По данным ГК «Солар», в 2023 г. на государственные организации пришлось 77%
атак, на промышленность 11%, на телекоммуникации 9%, 3%
на финансовый сектор. В 2024 г. на государственный сектор пришлось 35%
атак, на промышленность 17%, на телекоммуникации 8%, на
облачных провайдеров и Ит-разработку по 6%, на финансовый сектор
5%, на медицину и общественные организации• Политика » Общественная организация по 4%.
В 2023 г. основной целью атакующих• Происшествия был активизм и уничтожение данных
45%. 37% пришлось на шпионаж, 18% на уничтожение данных. В 2024 г.
шпионаж вышел на первое место на него пришлось 54%. На втором месте
находятся финансы 20%, на уничтожение данных и активизм пришлось по
11%.
Какие группировки больше всего атакуют• Происшествия Россию• Россия
После начала специальной военной операции (СВО• Военные конфликты » Военные действия » Специальная военная операция (СВО)) России• Россия на Украине• Украина российские• Россия
организации стали активно подвергаться хакасским атакам из Украины• Украина. В
2023-2024 гг. проукраинские группировки проводят как целевые атаки, так и
массово эксплуатируют уязвимости в системах. до которых могут «дотянуться». Их
основными задачами является шпионаж и уничтожение инфраструктуры. В 2024 г.
70% случаев атаки пришлись на проукраинские группировки: Shedding Zmiy,
Liffting Zmiy, Fairy Trickster (Head are), Morbid Trickster (Morlock) и
Moonshine Trickster (Werewolves).
Также чувствуется влияние группировки Obstinate Mogwai из Юго-Восточной Азии• Физико-географические регионы » Юго-Восточная Азия.
Она работает против государственных организаций, ее задачей является только
шпионаж. «Происходящее является большим пентестов (тестирование на
проникновение) российской• Россия инфраструктуры, считает инженер Solar 4Days
Геннадий Сазонов. Это достаточно болезненный процесс, но некоторые
компании• Объект организация » Организации по алфавиту » Организации на Се » Сенсор (компания) сильно обжигаются и повышают уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) своей безопасности. Атакующие• Происшествия
пока опережают, но грамотная реализация защитных мер может помочь снизить
ущерб от атаки».
Похожее
