Промышленный шпионаж 2.0: как Meduza взламывает оборону России

С начала 2024 года российские промышленные компании подвергаются активным атакам хакеров, использующих вредоносное программное обеспечение Meduza для кражи данных. Этот софт распространяется через даркнет, хотя его разработчики ранее ограничивали его использование в России и странах СНГ. Данный факт подтвердили представители компаний по информационной безопасности BI.Zone, F.A.C.C.T. и «Лаборатория Касперского» в беседе с «Ведомостями» .

Личность создателей Meduza остаётся неизвестной, однако хакеры часто вводят территориальные ограничения на использование своих программ в регионах, где они сами находятся, поясняет представитель BI.Zone Threat Intelligence. Он отметил, что хакеры рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.

Согласно данным BI.Zone, с начала года хакеры атаковали девять компаний в сфере промышленной автоматизации в России и странах СНГ с использованием стилера Meduza. Компании из транспортной и промышленной отраслей также подверглись подобным атакам, как сообщили специалисты «Инфосистемы джет». Представители F.A.C.C.T. и «Солар» также зафиксировали атаки организации энергетической отрасли с помощью Meduza. По статистике «Лаборатории Касперского», около половины всех атак Meduza с начала года приходилось на Россию, за которой следуют США, Германия и Китай. Точное количество атак не раскрывается.

Meduza активно использовалась хакерской группировкой Stone Wolf. Представитель BI.Zone рассказал, что злоумышленники рассылали жертвам письма с вредоносными вложениями и легитимными документами-приманками. При переходе по вредоносной ссылке из письма пользователь открывал PDF-файл и автоматически активировал установку Meduza. Этот зловред позволял хакерам получать доступ к данным расширений браузеров, менеджеров паролей и считывать с устройства входящие сообщения с кодами двухфакторной аутентификации.

Компании по информационной безопасности не раскрывают общее количество фишинговых писем, включающих Meduza, но отмечают значительное увеличение фишинговых атак за последний год. В январе – июне 2024 г. доля писем с вредоносными ссылками в корпоративном почтовом трафике выросла к среднему уровню 2023 г. более чем вдвое – на 105%, по данным «Ведомостей». Кроме того, с января по июнь 2024 года количество срабатываний решений «Лаборатории Касперского» на письма с вредоносным ПО увеличилось на 46% (с 575 286 писем в месяц до 837 005).

Тренд на нарушение географических запретов разработчиков вредоносного ПО наметился в 2023 г. и усилился с начала 2024 г. В частности, стилер Meduza появился на теневых ресурсах в июне 2023 года. Пересборка и снятие ограничений с ВПО для его доработки — не редкость, хотя и не самая распространенная практика, отметил представитель InfoWatch ARMA. Когда становится известно о применении пиратских версий ВПО, продажи на теневых форумах блокируются, а разработчики переходят в Telegram. Так произошло с White Snake и Rhadamantys, которые атаковали российские компании в 2023 и 2024 годах соответственно.

По словам экспертов, разработчики Meduza неоднократно получали персональные заказы на ВПО на одном из крупнейших хакерских форумов рунета. Они отмечают, что разработчики стараются не работать по организациям в СНГ, но на заказчиков повлиять не могут.

Запрет на использование вредоносного ПО в определённых регионах и запрет на его реверс-анализ часто нарушаются, что подтверждает представитель Jet CSIRT. Он добавил, что злоумышленники постоянно меняют инструменты для расширения охвата атак и поиска обходных путей защиты. Нарушение таких запретов не приветствуется даже на хакерских форумах, что подтвердилось блокировкой продавца Meduza на теневой площадке XSS в июне 2024 года за «работу по зоне. ру/экс-СССР», отметила ведущий эксперт Kaspersky GReAT.

Причины нарушения запрета на использование вредоносного ПО могут быть различными: от экономической выгоды до политических и культурных мотивов, объясняет представитель Центра компетенций НТИ. Согласно данным BI.Zone, в 73% случаев коммерческое ВПО используют финансово мотивированные злоумышленники, стремящиеся получить выкуп или продать украденные данные. В 14% случаев софт используется для шпионажа, а в 10% — по смешанным мотивам. На долю хактивистов приходится всего 3% подобных атак.