3 года хакеры шпионили за российскими ведомствами с помощью уникального вредоноса
Об этом эксперты рассказали на SOC Forum 2024. ВПО обнаружили в сети нескольких российских ведомств и ИТ-компаний, которые обслуживают госсектор. С помощью GoblinRAT злоумышленники смогли получить полный контроль над инфраструктурой жертв. Самые ранние следы заражения датируются 2020 годом, на данный момент ВПО удалено из атакованных сетей. На сегодня это одна из самых сложных и скрытных атак, с которыми доводилось сталкиваться экспертам Solar 4RAYS, коллеги по ИБ-отрасли также не встречались с данным кейсом.
Впервые эксперты Solar 4RAYS обнаружили GoblinRAT в 2023 году при расследовании инцидента в ИТ-компании, предоставляющей услуги преимущественно органам власти. Штатные ИБ-специалисты организации заметили факты удаления системных журналов на одном из серверов, а также загрузки утилиты для похищения паролей от учетных записей с контроллера домена. Подозрительные события побудили сотрудников инициировать расследование и привлечь к этому специалистов «Солара».
После продолжительных поисков эксперты Solar 4RAYS обнаружили вредоносный код, который маскировался под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными.
Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления: всякий раз атакующие сначала тщательно изучали особенности целевой инфраструктуры (используемое ПО и т.п.) и лишь потом внедряли вредонос под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе. Это явно указывает на таргетированный характер атаки. Высокий уровень технической подготовки атакующих и знание принципов работы операционных систем позволили им оставаться незамеченными в течение нескольких лет.
Особенности GoblinRAT, которые затрудняют его обнаружение:
- Вредонос самоуничтожается спустя определенное время, если оператор не подключается к нему и не сообщает специальный код.
- удаляя себя, ВПО несколько раз перезаписывает содержимое своих файлов на жестком диске случайными символами, чтобы максимально усложнить расследование;
- GoblinRAT маскируется под уже имеющийся на зараженной машине процесс, изменяя его название и аргументы командной строки. В некоторых случаях работал внутри легитимного приложения.
- злоумышленники применяют технику Port knocking («стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет.
- передаваемые данные в рамках соединения с сервером управления ВПО шифруются.
- для обхода ограничений межсетевых экранов используется построение сетевых туннелей.
- Интересно, что в качестве управляющих серверов (через которые оператор отдает команды ВПО) злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ритейлера). Это позволило замаскировать вредоносный трафик.
Всего вредонос был обнаружен в четырех организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой: они имели удаленный доступ с правами администратора ко всем сегментам сети. Эксперты Solar 4RAYS нашли свидетельства, указывающие, что как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.
«Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT с 2020 года, однако нам не удалось обнаружить широкого распространения вредоноса. Более того, наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточно-европейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными. Те атаки, что мы расследовали, требовали тщательной предварительной подготовки и большого количества “ручной” работы», — отметил инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов.
По итогам расследования команда Solar 4RAYS сформировала индикаторы компрометации, которые помогут компаниям обнаружить GoblinRAT в своей инфраструктуре, а также детектирующую логику — инструмент для поиска вредоносной активности в сети.