Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

«Доктор Веб» исследовал целевые атаки на российские НИИ

05/04/21

Др Веб-1Компания «Доктор Веб» провела подробное исследование атак, которые были направлены на ряд отечественных НИИ и начались ещё в 2017 году. В ходе изучения подробностей этих инцидентов наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы.

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.


Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12 , а в июне 2020 — BackDoor.Siggen2.3268 .


Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye . В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — BackDoor.Skeye был установлен в локальной сети другого российского НИИ.


Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на
государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep .1, а также хорошо известный BackDoor.PlugX.


Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24 . Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.


Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.


Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорит ряд фактов.


Так, детальный анализ бэкдора DNSep и его последующее сравнение с кодом другого бэкдора для целевых атак — Cotx — выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.

Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428.


Кроме того, в процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu, что также подвело нас к проведению дополнительного анализа. В ходе сравнительного исследования наши специалисты выявили у рассмотренных семейств сходства в логике ведения журнала событий и его обфускации, логике подключения к управляющему серверу и поиска адресов прокси, а также в используемой сетевой инфраструктуре.


Мы допускаем, что пересечения в коде и сетевой инфраструктуре проанализированных образцов указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.


Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — злоумышленники в течение нескольких лет могли похищать с заражённых компьютеров необходимую им информацию.

Подробный разбор алгоритмов работы и выявленных связей приведён в нашем исследовании.

Темы:ИсследованиеПреступления"Доктор Веб"НИИ
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Лишь 10% корпоративных систем поддерживают современную аутентификацию
    Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Антивирус Dr.Web по подписке для бизнеса и госучреждений
    Традиционные модели лицензирования иногда не соответствуют динамичным потребностям бизнеса, создавая дополнительные финансовые и административные нагрузки. Рассмотрим преимущества и недостатки подписной модели, а также ее влияние на организацию защиты данных и управление ресурсами в компании.
  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Сколько в 2022 году стоит специалист по информационной безопасности?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вакансий в сфере ИБ и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%
  • Майнеры, вымогатели, мошенники — основные киберугрозы первой половины 2021 года
    Чего опасаться в 2021 году и как предотвратить угрозы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...