05/04/21
Компания «Доктор Веб» провела подробное исследование атак, которые были направлены на ряд отечественных НИИ и начались ещё в 2017 году. В ходе изучения подробностей этих инцидентов наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы.
В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.
Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12 , а в июне 2020 — BackDoor.Siggen2.3268 .
Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye . В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — BackDoor.Skeye был установлен в локальной сети другого российского НИИ.
Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на
государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep .1, а также хорошо известный BackDoor.PlugX.
Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24 . Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.
Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.
Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорит ряд фактов.
Так, детальный анализ бэкдора DNSep и его последующее сравнение с кодом другого бэкдора для целевых атак — Cotx — выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.
Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428.
Кроме того, в процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu, что также подвело нас к проведению дополнительного анализа. В ходе сравнительного исследования наши специалисты выявили у рассмотренных семейств сходства в логике ведения журнала событий и его обфускации, логике подключения к управляющему серверу и поиска адресов прокси, а также в используемой сетевой инфраструктуре.
Мы допускаем, что пересечения в коде и сетевой инфраструктуре проанализированных образцов указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.
Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — злоумышленники в течение нескольких лет могли похищать с заражённых компьютеров необходимую им информацию.
Подробный разбор алгоритмов работы и выявленных связей приведён в нашем исследовании.
