Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

«Доктор Веб» исследовал целевые атаки на российские НИИ

05/04/21

Др Веб-1Компания «Доктор Веб» провела подробное исследование атак, которые были направлены на ряд отечественных НИИ и начались ещё в 2017 году. В ходе изучения подробностей этих инцидентов наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы.

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.


Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12 , а в июне 2020 — BackDoor.Siggen2.3268 .


Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye . В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — BackDoor.Skeye был установлен в локальной сети другого российского НИИ.


Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на
государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep .1, а также хорошо известный BackDoor.PlugX.


Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24 . Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.


Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.


Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорит ряд фактов.


Так, детальный анализ бэкдора DNSep и его последующее сравнение с кодом другого бэкдора для целевых атак — Cotx — выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.

Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428.


Кроме того, в процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu, что также подвело нас к проведению дополнительного анализа. В ходе сравнительного исследования наши специалисты выявили у рассмотренных семейств сходства в логике ведения журнала событий и его обфускации, логике подключения к управляющему серверу и поиска адресов прокси, а также в используемой сетевой инфраструктуре.


Мы допускаем, что пересечения в коде и сетевой инфраструктуре проанализированных образцов указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.


Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — злоумышленники в течение нескольких лет могли похищать с заражённых компьютеров необходимую им информацию.

Подробный разбор алгоритмов работы и выявленных связей приведён в нашем исследовании.

Темы:ИсследованиеПреступления"Доктор Веб"НИИ

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...