Азиатские хакеры зашли через СКУД: 1,5 года скрытого шпионажа в России
Злоумышленники использовали усовершенствованные инструменты, созданные китайскими разработчиками.
Исследователи ГК «Солар» зафиксировали атаку азиатских злоумышленников, которые более полутора лет скрывались в сети одного из российских госучреждений, собирая конфиденциальную информацию. Примечательно, что хакеры смогли долго оставаться незамеченными благодаря использованию системы контроля и управления доступом (СКУД), которая не была подключена к мониторингу информационной безопасности.
Атакованное ведомство являлось клиентом «Солар», однако подключение к сервису мониторинга было ограничено лишь частью инфраструктуры. Система контроля и управления доступом, включая турникеты и кодовые замки, осталась вне зоны мониторинга, что и позволило злоумышленникам пройти незамеченными. В марте 2023 года они проникли на компьютер, являющийся частью СКУД, и их действия остались незафиксированными. Хакеры смогли свободно продвигаться по сети до тех пор, пока не наткнулись на защищенные системы, где атака была вскрыта.
Группировка, ответственная за атаку, получила название Erudite Mogwai. Хакеры оставляли в кодах вредоносных программ отсылки к музыкальным и литературным произведениям, что привело к их эпитету «эрудированные». Известно, что эта группировка атакует госучреждения и высокотехнологичные предприятия с 2017 года. Среди пострадавших от действий Erudite Mogwai были организации из России, Грузии и Монголии.
Для начала атаки злоумышленники воспользовались уязвимым публично доступным веб-сервисом, через который проникли в недоменный компьютер, составляющий часть системы СКУД. Такие компьютеры, как правило, не подключены к домену и обслуживаются вручную, что делает их уязвимыми. Эксперт Solar 4RAYS отметил, что эти системы часто не обновляются регулярно, а в них могут использоваться простые пароли, что способствует их компрометации.
После проникновения в сеть злоумышленники применили различные инструменты для продвижения внутри системы. Например, они использовали измененную версию инструмента для проксирования трафика Stowaway, который скрывал их коммуникации между зараженными компьютерами и серверами управления.
В течение 1,5 лет Erudite Mogwai скомпретировали несколько десятков систем, включая систему администратора. Для реализации атаки они применяли более 20 различных инструментов, которые после использования удалялись. Среди используемых инструментов было несколько open-source утилит, созданных китайскими разработчиками. В частности, версия Stowaway, использованная хакерами , значительно отличалась от оригинала и, вероятно, была модификацией, созданной группировкой под свои нужды.
Кроме того, злоумышленники использовали инструменты, такие как Shadowpad Light (бэкдор), Keylogger CopyCat (программа для записи нажатий клавиш), Fscan и Lscan (инструменты для сканирования и тестирования сетей), Netspy (утилита для анализа внутренних сегментов сети), а также LuckyStrike Agent (многофункциональный бэкдор, использующий OneDrive для C2).
Техники и тактики, использованные Erudite Mogwai, направлены на обеспечение длительного скрытного присутствия в атакованных системах, что является характерной чертой групп, занимающихся кибер шпионажем .