Хакеры оставались в сети нескольких российских ведомств и IT-компаний, работающих на госсектор, на протяжении трех лет, пока их деятельность не обнаружили специалисты Solar 4RAYS. Центр исследования киберугроз ГК «Солар» сообщил Forbes, что для взлома использовали сложное вредоносное ПО GoblinRAT. Эта атака стала одной из самых скрытных и сложных в практике российских экспертов. Оказалось, что заражение началось еще в 2020 году, однако первые признаки удалось обнаружить лишь в 2023 году.
Как работало вредоносное ПО
Эксперты Solar 4RAYS обнаружили GoblinRAT во время расследования инцидента в одной из IT-компаний, которые обслуживали органы власти. Вредоносная программа оказалась уникальной по уровню маскировки. Штатные специалисты обратили внимание на то, что в системных журналах сервера стали пропадать записи, а на одном из контроллеров домена была загружена утилита для кражи паролей. Этот факт вызвал подозрение, и к расследованию привлекли экспертов по кибербезопасности.
После тщательного анализа специалисты нашли код, который маскировался под легитимный процесс. GoblinRAT был замаскирован так, что отличался от оригинального файла всего одной буквой. Заметить такие мелкие различия практически невозможно без ручной проверки больших объемов данных. Это позволило хакерам длительное время оставаться незамеченными.
Главной особенностью вредоносной программы стала ее способность к ручной настройке под каждую инфраструктуру. Хакеры не использовали автоматическую закрепку, а предварительно изучали ПО и систему цели, настраивая маскировку вредоносного кода под одну из программ. Благодаря этому он «сливался» с окружением атакуемой системы, и обнаружить его было практически невозможно без детального анализа. Целью атаки, как выяснилось, был полный контроль над инфицированными системами. Операторы GoblinRAT могли удаленно управлять всеми процессами на атакованных серверах, похищать, менять или удалять данные.
Кто стоит за взломом
Важный аспект этой атаки — ее происхождение. В Solar 4RAYS отметили, что GoblinRAT не похож на инструменты, которые ранее использовали известные кибергруппировки из Азии или Восточной Европы. Это ПО, вероятно, разработано высокопрофессиональными специалистами, которые умеют проникать в критически важные системы. Однако точных данных о том, кто стоит за атакой, пока нет.
По оценке экспертов, политически мотивированные кибератаки продолжают расти. В 2023 году их количество увеличилось на 120% по сравнению с прошлым годом, а атаки на госсектор остаются в фокусе внимания хакеров.
Прогнозы и тенденции в киберугрозах
По данным компании, в 2024 году основные цели кибератак — госструктуры, финансовый сектор, IT и промышленность. Наибольшую опасность представляют вредоносные программы и шпионское ПО, которое использовалось в 23% всех зафиксированных атак. Специалисты также отмечают рост числа хактивистских групп, специализирующихся на взломах критически важных объектов.
Эксперты ведут множество расследований кибератак в российских компаниях и госструктурах. Так, например, сотрудники учреждений стали чаще получать изображения и текстовые файлы со вшитым вредоносным ПО. Жертве достаточно один раз открыть файл, чтобы вирус попал на ПК.