Основы Интернет - технологий.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили атаку хак-группы Erudite Mogwai, которая 1,5 года скрывалась в сети неназванной российской госорганизации и собирала конфиденциальные данные. Злоумышленники прятались в системе контроля и управления доступом (СКУД, в нее входят турникеты, кодовые замки и так далее), которая не была подключена к ИБ-мониторингу. Исследователи объясняют, что атакованное ведомство являлось клиентом центра противодействия кибератакам Solar JSOC. Однако к сервису мониторинга организация подключила только часть систем. Другая часть сети, включая СКУД, находилась вне мониторинга, что и сыграло на руку злоумышленникам: в марте 2023 года, когда они проникли на один из компьютеров, этого никто не заметил. В итоге атакующим удавалось долгое время продвигаться по сети жертвы, пока они не дошли до систем, контролируемых Solar JSOC, где наконец были обнаружены. Для проникновения в инфраструктуру злоумышленники взломали публично доступный веб-сервис, а через него попали на недоменный компьютер, являющийся частью инфраструктуры СКУД. «Недоменные компьютеры находятся вне домена и администрируются (обновляются или настраиваются) вручную. В большинстве организаций это делается нерегулярно. К тому же, обычно в таких системах используются локальные учетные записи с привилегиями администратора, пароль от которых может быть даже не установлен. А если пароль и есть, то его делают очень простым, чтобы не забыть, и потом никогда не обновляют. Такие “забытые навеки системы” становятся находкой для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и полноценный ИБ-мониторинг всей сети так важны для надежной киберзащиты», – комментирует эксперт центра исследования киберугроз Solar 4RAYS Денис Чернов. После проникновения в сеть злоумышленники не спеша развивали атаку. Для продвижения по сети они использовали модифицированный инструмент для проксирования трафика — Stowaway. С его помощью хакеры маскировали коммуникации между зараженными компьютерами и управляющими серверами. В целях обфускации с каждой итерацией изменялась структура протокола, добавлялись новые возможности. За полтора года участники Erudite Mogwai скомпрометировали несколько десятков систем в организации (включая систему администратора) и применили более 20 различных инструментов, которые удаляли после использования. Отмечается, что многие опенсорсные утилиты из арсенала хакеров были созданы китайскими разработчиками, а использованная в атаке версия утилиты Stowaway значительно отличалась от оригинала. Исследователи полагают, что Erudite Mogwai увидели в инструменте большую ценность и фактически создали собственный форк Stowaway, специально под свои нужды. Хакеры начали модификацию утилиты с урезания ненужной им функциональности и продолжили с внесением минорных правок, включая переименование функций и изменение размеров структур (вероятно, чтобы сбить существующие детектирующие сигнатуры). Но теперь версия Stowaway, которую использует группировка, уже стала полноценным форком со следующими особенностями: сжатие трафика с использованием LZ4; использование XXTEA в качестве алгоритма шифрования; поддержка протокола QUIC; SOCKS5 прокси; проверка введенных параметров методом хеширования с помощью MD5 (при несоответствии хеша от флага -f программа завершает свою работу); кастомизированный протокол. Среди других инструментов хакеров специалисты выделили: Shadowpad Light (он же Deed RAT) – бэкдор, использующий технику side loading для повышения скрытности; Keylogger CopyCat – кейлоггер; Fscan, Lscan – опенсорсные инструменты для быстрого сканирования и тестирования сетей; Netspy – утилита для обнаружения доступных внутренних сегментов сети; LuckyStrike Agent – многофункциональный бэкдор, способный использовать OneDrive в качестве управляющего сервера. «Тактики и техники, используемые Erudite Mogwai, направлены, прежде всего, на обеспечение длительного и скрытного присутствия в атакованных системах. Например, первоначальное проникновение и развитие атаки они осуществили в незащищенном сегменте атакованной сети, что позволило им долго оставаться незамеченными. Это характерная черта профессиональных группировок, специализирующихся на кибершпионаже», – добавляет Денис Чернов. Так как в код своей малвари эти хакеры добавляют отсылки к музыкальным и литературным произведениям, группа получила название Erudite Mogwai («erudite» — эрудированный). Как минимум с 2017 года Erudite Mogwai (также известна как Space Pirates) атакует госучреждения, а также высокотехнологичные предприятия, например, в авиационно-космической и электроэнергетической индустрии. Жертвы хакеров были обнаружены в России, а также в Грузии и Монголии.