Высокоорганизованные иностранные хакеры устроили шпионскую атаку на Россию

«Солар»: иностранная хакерская группировка шпионила за российским ведомством

Shutterstock

В сетевой инфраструктуре одного из органов исполнительной власти РФ были обнаружены следы шпионской деятельности группы высокоорганизованных иностранных хакеров. Об этом «Газете.Ru» рассказал начальник отдела анализа угроз центра Solar 4RAYS группы компаний «Солар» Алексей Фирш.

По словам Фирша, обнаруженная ими группировка существует как минимум три года, но данных для точной ее атрибуции пока недостаточно, поэтому кластер этой активности временно был назван NGC2180. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, а затронутые системы вернулись в работу.

Атака NGC2180 была обнаружена специалистами «Солар» в конце 2023 года, во время комплексного анализа инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредоносного ПО (ВПО), названного экспертами DFKRAT. Оно предоставляло злоумышленникам широкие возможности манипуляций в атакуемой системе: от хищения пользовательских данных до загрузки дополнительного ВПО.

«Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции», – отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

Активность NGC2180 на протяжении минимум последних трех лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

Ранее россиянам рассказали, какие девайсы подслушивают их разговоры.