Кибератаки на НИИ

Компания «Доктор Веб» исследовала атаки, которые были направлены на ряд отечественных НИИ и начались ещё в 2017 году. В ходе изучения подробностей этих инцидентов вирусные аналитики компании нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы

С чего все началось?

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» обратился за помощью один из российских научно-исследовательских институтов. Сотрудники НИИ заметили ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети.

В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения в Доктор Веб и, судя по имеющейся информации - не одной APT-группой.

Кто и когда атаковал НИИ?

Полученные в ходе расследования данные свидетельствуют о том, что первая APT-группа скомпрометировала внутреннюю сеть института еще осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 – модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 – BackDoor.Siggen2.3268.

Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye. В процессе работы вирусные аналитики также выяснили, что примерно в то же время – в мае 2019 года – BackDoor.Skeye был установлен в локальной сети другого российского НИИ.

Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года, вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.

Более того, в декабре 2017 года на серверы обратившегося в компанию НИИ был установлен BackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом в компании не располагает такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.

Деятельность первой APT-группы не позволяет однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. Однако анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.

Второй APT-группой, атаковавшей НИИ, по мнению аналитиков, является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорит ряд фактов.

Так, детальный анализ бэкдора DNSep и его последующее сравнение с кодом другого бэкдора для целевых атак – Cotx – выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.

Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, аналитики компании предполагают, что автор или группа авторов DNSep имеет отношение к группировке TA428.

Кроме того, в процессе исследования бэкдора Skeye было обнаружено, что адрес его управляющего сервера также используется бэкдором семейства Logtu, это обстоятельство стало поводом для проведения дополнительного анализа.

В ходе сравнительного исследования специалисты Доктора Веб выявили у рассмотренных семейств сходства в логике ведения журнала событий и его обфускации, в логике подключения к управляющему серверу и поиска адресов прокси, а также в используемой сетевой инфраструктуре.

Предположительно пересечения в коде и сетевой инфраструктуре проанализированных образцов указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.

К чему это привело?

Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации – злоумышленники в течение нескольких лет могли похищать с заражённых компьютеров необходимую им информацию.

Поэтом специалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО.

Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации.

При подозрении на вредоносную активность в сети аналитики Доктора Веб рекомендуют обращаться в компании, которые оказывают услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.

Используемые вредоносные программы

BackDoor.Skeye.1

Бэкдор, написанный на C и работающий в среде 32- и 64-битных операционных систем семейства Microsoft Windows. Используется для целевых атак на информационные системы, удаленного управления компьютером путем перенаправления ввода-вывода командной оболочки на управляющий сервер, сбора информации о зараженном устройстве. Оригинальное имя вредоносного модуля – sk.exe. В коде бэкдора прослеживается связь с образцами семейств Mikroceen и Logtu.

BackDoor.DNSep.1

Бэкдор, написанный с использованием языков C и C++ и работающий в среде 32- и 64-битных операционных систем семейства Microsoft Windows. Предназначен для коммуникации с управляющим сервером посредством DNS-запросов и несанкционированного управления зараженным компьютером. Состоит из загрузчика, представляющего собой DLL-библиотеку, и основного модуля, работающего в оперативной памяти. Имеет множественные пересечения в коде с бэкдором Cotx.

BackDoor.Remshell.24

Бэкдор, написанный на C и работающий в среде 32-битных операционных систем семейства Microsoft Windows. Позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell – запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленника. Оригинальное название вредоносного модуля: client_dll.dll.

BackDoor.Farfli.130

Вредоносная dll-библиотека, написанная на C++, поддерживает работу в 32- и 64-битных операционных системах семейства Microsoft Windows. Представляет собой бэкдор, который позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell – запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленников.

Trojan.Mirage.12

Многокомпонентный троян-бэкдор, написанный на C++ с использованием библиотеки Active Template Library (ATL) предназначенный для работы в 32- и 64-битных операционных системах семейства Microsoft Windows. Используется для несанкционированного управления зараженным компьютером и доступа к содержащейся на устройстве информации. Троян представляет собой COM-сервер, работающий в оперативной памятив контексте системного процесса.

BackDoor.Siggen2.3268

Бэкдор, написанный на языке С++ и предназначенный для работы в 32- и 64-разрядных операционных системах семейства Microsoft Windows. Функциональность 32- и 64-битных версий идентична. Бэкдор слинкован с библиотекой OpenSSL, реализующей шифрование на основе AES и RSA, а также генерацию ключей. Используется для целевых атак на информационные системы и несанкционированного доступа к данным для их передачи на управляющие серверы. В зараженной системе исследуемый образец находился в System32 в виде динамической библиотеки с именем ssdtvrs.dll. Был установлен службой ssdtvrs. Данное описание построено на основе 64-битной версии.

Ключевые слова: бэкдор, троян, целевая атака, нии, вирус, лаборатория, хакеры, компьютер, заражение, аналитик, компания, APT-группа

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи