19/07/23
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) зафиксировали новую волну атак хакерской группировки Space Pirates. Преступники, известные масштабностью своих действий, разработали новые инструменты и увеличили число попыток атаковать российский государственный сектор, авиационную и ракетно-космическую промышленность, образовательные учреждения.
Согласно расследованию PT ESC, за последний год Space Pirates совершила успешные атаки по меньшей мере на 16 организаций в России. Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако группировка расширила сферу своих интересов. Среди новых жертв эксперты выделяют государственные, образовательные учреждения, охранную организацию, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплексов, а также компании, занимающиеся информационной безопасностью. Жертвой Space Pirates стало также одно министерство в Сербии.
«В течение года мы часто сталкивались с активностью Space Pirates во время расследований кибератак, — говорит Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — За этот период тактики группировки практически не поменялись, однако она разработала новые инструменты, реализующие нестандартные техники (как, например, Voidoor), и улучшила старые. На одном из управляющих серверов Space Pirates мы обнаружили сканер Acunetix: это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который мы раньше не наблюдали. Чтобы защититься от угроз, связанных с деятельностью группировки, мы рекомендуем принимать проактивные меры, использовать песочницы, позволяющие выявлять даже сложное ВПО, и анализаторы трафика».
Эксперты Positive Technologies впервые зарегистрировали активность Space Pirates в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора получило фишинговое письмо с неизвестным ранее вредоносным программным обеспечением. За последующие два года специалисты выявили еще четыре скомпрометированные организации (две из них — компании с госучастием), которые были подвержены атакам преступников. PT ESC продолжает мониторинг и реагирование на угрозы, в том числе связанные с указанной группировкой.
Продукты Positive Technologies — система поведенческого анализа трафика PT Network Attack Discovery (PT NAD) и сетевая песочница PT Sandbox — способны задетектировать зловредные действия Space Pirates, предотвратить атаку и обнаружить зараженные узлы в сети. Актуальные версии средств защиты уже содержат необходимую для этого экспертизу. Так, PT Sandbox обнаруживает вредоносное ПО, используемое группировкой, а также определяет дополнительный хакерский инструментарий, замеченный во время расследований. Кроме того, песочница проводит проверку ВПО с помощью комбинации поведенческого анализа, сетевых и YARA-правил PT ESC и на основе алгоритмов машинного обучения. PT NAD при анализе использует репутационные списки c доменными именами и IP-адресами, принадлежащими киберпреступникам. Собственные правила обнаружения угроз определяют сетевую активность бэкдоров и вредоносного ПО на зараженных устройствах внутри защищаемой сети.
