Новая хакерская группировка напала на авиапромышленность и ТЭК России
Эксперты центра безопасности Positive Technologies обнаружили новую киберпреступную группировку, которая для получения доступа в сеть компрометирует дочерние организации целевой компании.
Хакеры атакуют ТЭК
Команда экспертного центра безопасности Positive Technologies обнаружила новую киберпреступную группировку ChamelGang, которая занимается хищением данных из организаций топливно-энергетического комплекса и авиационной промышленности. Интерес злоумышленников направлен на хищение данных из скомпрометированных сетей. Об этом CNews сообщила пресс-служба Positive Technologies.
«Сам по себе факт атаки не является чем-то уникальным: предприятия этой сферы входят в тройку наиболее часто атакуемых отраслей. При этом наиболее часто такие атаки приводят к потере данных или финансов — в 84% случаев злоумышленники в прошлом году нацеливались именно на хищение информации», — поясняет Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.
Почему хамелеоны?
Название ChamelGang (от англ. chameleon) группировка получила за маскировку вредоносного ПО с помощью правдоподобных фишинговых доменов и особенностей операционных систем. Злоумышленники регистрируют фишинговые домены, которые очень похожи на легитимные сервисы Microsoft, TrendMicro, McAfee, IBM и Google, а также их сервисы поддержки. Специалисты PT ESC обнаружили домены newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com, а также на серверах группировки появились SSL-сертификаты, которые имитировали легитимные: github.com, www.ibm.com, jquery.com, update.microsoft-support.net.
Как происходит взлом
Первые атаки группы типа trusted relationship были зарегистрированы в марте 2021 г.
Trusted relationship attack (англ. «атака через доверительные отношения») — атака, в ходе которой злоумышленники взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы. Например, это может быть взлом дочернего предприятия или компании, обеспечивающей техническую поддержку. Такие атаки связаны с компрометацией доверенных каналов (например, VPN).
Максим Кыркунов, C3 Solutions: Высоконагруженные ЦОДы становятся трендом сегодняшнего дня
Эксперты Positive Technologies рассказали об одном из случаев такого проникновения. Для получения доступа в сеть целевого предприятия группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Через закрытую несколько лет назад поставщиком уязвимость хакеры получили возможность удаленного исполнения команд на узле. Спустя всего две недели злоумышленники узнали словарный пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть по протоколу RDP. Remote Desktop Protocol — протокол подключения пользователя к удаленному рабочему столу через сервер терминалов. Злоумышленники изучали корпоративную сеть в течение трех месяцев, оставаясь необнаруженными. За это время им удалось получить контроль над критически важными серверами и похитить интересующие данные.
«Промышленные предприятия далеко не всегда способны самостоятельно выявить целенаправленную кибератаку и на протяжении многих лет могут оставаться в иллюзии безопасности, рассматривая вероятность реализации недопустимых событий как минимальную. Однако на практике злоумышленник более чем в 90% случаев может проникнуть в корпоративную сеть промышленного предприятия, и почти каждое такое проникновение приводит к полному контролю над инфраструктурой целевой организации. Результатом более половины таких атак становится совершение того самого недопустимого события — хищение данных о партнерах и сотрудниках компании, почтовой переписки и внутренней документации», — отмечает Денис Кувшинов.
Отличительная особенность группировки
Отличительной особенностью атак группы ChamelGang эксперты назвали использование нового, ранее никем не описанного вредоносного ПО — ProxyT, BeaconLoader, бэкдора DoorMe. Последний относится к пассивным бэкдорам, то есть прослушивает порты на входящие подключения от удаленных компьютеров, а не создает подключения сам. Это значительно усложняет его обнаружение. Кроме того, в своем инструментарии группа имеет и уже известные вредоносные программы, в частности FRP, Cobalt Strike Beacon, Tiny shell.
«Среди обнаруженных нами образцов ВПО самый интересный — бэкдор DoorMe. По сути, он является нативным модулем IIS, который регистрируется как фильтр, через который проходит обработка HTTP-запросов и ответов. Его принцип работы нераспространенный: бэкдор обрабатывает только те запросы, в которых задан верный параметр cookie. На момент расследования инцидента DoorMe не детектировался средствами антивирусной защиты, и хотя техника установки этого бэкдора известна, за последнее время мы впервые видим ее использование», — отмечает Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies.
Общая уязвимость
Эксперты Positive Technologies отмечают, что пока не отнесли ChamelGang к какой-либо конкретной стране. Известно только то, что APT-группировка нацелена на ТЭК и авиационную промышленность России. Однако жертвами ChamelGang также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. В некоторых странах специалисты PT ESC обнаружили скомпрометированные правительственные серверы. Пострадавшим компаниям отправили уведомления по линии национальных CERT.
В сентябре 2021 г. CNews сообщал об исследовании специалистов BI:ZONE: инфраструктура более чем 60% российских компаний уязвима для хакеров. Эксперты считают, что причина кроется в некорректном разделении прав во внутрикорпоративных приложениях. Так, некоторые функции, связанные с использованием конфиденциальных сведений, должны быть доступны исключительно администраторам. Однако во многих компаниях закрытыми данными может распоряжаться и обычный пользователь, чью учетную запись намного проще скомпрометировать.