Кибератаки на НИИ::
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Работа с Debian  

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 7753
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8017
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5367
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3421
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4212
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4224
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6739
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3567
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3835
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7730
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11088
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12812
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14585
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9524
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7489
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5763
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4971
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3827
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3503
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3734
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Кибератаки на НИИ

Архив номеров / 2021 / Выпуск №04 (221) / Кибератаки на НИИ

Рубрика: Безопасность /  Угрозы



Кибератаки на НИИ

Компания «Доктор Веб» исследовала атаки, которые были направлены на ряд отечественных НИИ и начались ещё в 2017 году. В ходе изучения подробностей этих инцидентов вирусные аналитики компании нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы


С чего все началось?

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» обратился за помощью один из российских научно-исследовательских институтов. Сотрудники НИИ заметили ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети.

В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения в Доктор Веб и, судя по имеющейся информации - не одной APT-группой.


Кто и когда атаковал НИИ?

Полученные в ходе расследования данные свидетельствуют о том, что первая APT-группа скомпрометировала внутреннюю сеть института еще осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 – модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 – BackDoor.Siggen2.3268.

Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye. В процессе работы вирусные аналитики также выяснили, что примерно в то же время – в мае 2019 года – BackDoor.Skeye был установлен в локальной сети другого российского НИИ.

Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года, вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.

Более того, в декабре 2017 года на серверы обратившегося в компанию НИИ был установлен BackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом в компании не располагает такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.

Деятельность первой APT-группы не позволяет однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. Однако анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.

Второй APT-группой, атаковавшей НИИ, по мнению аналитиков, является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорит ряд фактов.

Так, детальный анализ бэкдора DNSep и его последующее сравнение с кодом другого бэкдора для целевых атак – Cotx – выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.

Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, аналитики компании предполагают, что автор или группа авторов DNSep имеет отношение к группировке TA428.

Кроме того, в процессе исследования бэкдора Skeye было обнаружено, что адрес его управляющего сервера также используется бэкдором семейства Logtu, это обстоятельство стало поводом для проведения дополнительного анализа.

В ходе сравнительного исследования специалисты Доктора Веб выявили у рассмотренных семейств сходства в логике ведения журнала событий и его обфускации, в логике подключения к управляющему серверу и поиска адресов прокси, а также в используемой сетевой инфраструктуре.

Предположительно пересечения в коде и сетевой инфраструктуре проанализированных образцов указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.


К чему это привело?

Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации – злоумышленники в течение нескольких лет могли похищать с заражённых компьютеров необходимую им информацию.

Поэтом специалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО.

Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации.

При подозрении на вредоносную активность в сети аналитики Доктора Веб рекомендуют обращаться в компании, которые оказывают услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.


Используемые вредоносные программы

BackDoor.Skeye.1

Бэкдор, написанный на C и работающий в среде 32- и 64-битных операционных систем семейства Microsoft Windows. Используется для целевых атак на информационные системы, удаленного управления компьютером путем перенаправления ввода-вывода командной оболочки на управляющий сервер, сбора информации о зараженном устройстве. Оригинальное имя вредоносного модуля – sk.exe. В коде бэкдора прослеживается связь с образцами семейств Mikroceen и Logtu.

BackDoor.DNSep.1

Бэкдор, написанный с использованием языков C и C++ и работающий в среде 32- и 64-битных операционных систем семейства Microsoft Windows. Предназначен для коммуникации с управляющим сервером посредством DNS-запросов и несанкционированного управления зараженным компьютером. Состоит из загрузчика, представляющего собой DLL-библиотеку, и основного модуля, работающего в оперативной памяти. Имеет множественные пересечения в коде с бэкдором Cotx.

BackDoor.Remshell.24

Бэкдор, написанный на C и работающий в среде 32-битных операционных систем семейства Microsoft Windows. Позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell – запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленника. Оригинальное название вредоносного модуля: client_dll.dll.

BackDoor.Farfli.130

Вредоносная dll-библиотека, написанная на C++, поддерживает работу в 32- и 64-битных операционных системах семейства Microsoft Windows. Представляет собой бэкдор, который позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell – запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленников.

Trojan.Mirage.12

Многокомпонентный троян-бэкдор, написанный на C++ с использованием библиотеки Active Template Library (ATL) предназначенный для работы в 32- и 64-битных операционных системах семейства Microsoft Windows. Используется для несанкционированного управления зараженным компьютером и доступа к содержащейся на устройстве информации. Троян представляет собой COM-сервер, работающий в оперативной памятив контексте системного процесса.

BackDoor.Siggen2.3268

Бэкдор, написанный на языке С++ и предназначенный для работы в 32- и 64-разрядных операционных системах семейства Microsoft Windows. Функциональность 32- и 64-битных версий идентична. Бэкдор слинкован с библиотекой OpenSSL, реализующей шифрование на основе AES и RSA, а также генерацию ключей. Используется для целевых атак на информационные системы и несанкционированного доступа к данным для их передачи на управляющие серверы. В зараженной системе исследуемый образец находился в System32 в виде динамической библиотеки с именем ssdtvrs.dll. Был установлен службой ssdtvrs. Данное описание построено на основе 64-битной версии.


Ключевые слова: бэкдор, троян, целевая атака, нии, вирус, лаборатория, хакеры, компьютер, заражение, аналитик, компания, APT-группа

 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru