В четырех российских госорганизациях было обнаружено вредоносное ПО GoblinRAT, внедренное через ИТ-подрядчика и маскирующееся под легитимное ПО. GoblinRAT похищал конфиденциальную информацию, в том числе с компьютеров с ограниченным доступом в интернет. Создателями вредоносного ПО могут быть прогосударственные хакеры, пишет cnews.ru.
Вредоносное ПО в ИТ-подрядчике российских госорганизаций
ГК «Солар» («дочка» «Ростелекома») сообщила об обнаружении вредоносного ПО GoblinRAT. Оно было зафиксировано командой Solar 4RAYS (входит в ГК «Солар») в ходе расследования инцидентов в ИТ-компании, предоставляющей услуги органам госвласти (названия затронутых организаций не раскрываются). Отчет об инцидента был продемонстрирован в ходе конференции SOC Forum 2024.
Инцидент был зафиксирован в 2023 г., когда штатные специалисты заметили факты удаления системных журналов на одном из серверов, выгрузки хешей паролей пользователей с контроллера домена, а также загрузки утилиты для похищения паролей учетных записей Secretsdump с контроллера домена. ИБ-специалисты компании попытались самостоятельно расследовать инцидент, но затем обратились за помощью к команде Solar 4RAYS.
Сложность обнаружения вредоносного ПО
Команда Solar 4RAYS обратила внимание, что атакующие используют только легитимное ПО, а вредоносное ПО отсутствует. В результате пришлось исследовать все внутренние и внешние сервера заказчика. В ходе анализа было обнаружено, что запись результата работ команд, отображающих информацию об операционной системе, происходит в переменную А. Такое поведение может свидетельствовать о намерение злоумышленника замести следы.
Также переменная окружения Histfile была установлена в значении «/dev/null», что означает отключение логирования команд в активной сессии командного интерпретатора. Кроме того, был обнаружен процесс «Zabbix_agentd», мимикрирующий под легитимное ПО для мониторинга северной активности Zabbix. Все это свидетельствовало о подозрительной активности.
По результатам расследования был обнаружен вредоносный код, который маскировался под процесс легитимного приложения. Он получил название GoblinRAN. «Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии, — заявили в ГК «Солар». — Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными».
Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления. «Всякий раз атакующие сначала тщательно изучали особенности целевой архитектуры (используемое ПО и т.п.) и лишь потом внедряли вредоносное ПО под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе, — добавили в ГК «Солар». — Это явно указывает на таргетированный характер атаки. Высокий уровень технической подготовки атакующих и знание принципов работы операционных система позволили им оставаться незамеченными в течение нескольких лет».
GoblinRAT имеет ряд особенностей, которые затрудняют его обнаружение: вредоносное ПО самоуничтожается спустя определенное время, если оператор не подключается к нему и не сообщает специальный код (это необходимо на случай потери доступа злоумышленника к компьютеру); удаляя себя, вредоносное ПО несколько раз перезаписывает содержимое своих файлов на жестком диске случайными символами, чтобы максимально сложить расследование; GobilnRAT маскируется под уже имеющийся на заражающей машине процесс, изменяя его название и аргументы командной строки; в некоторых случаях GobliRAT работал внутри легитимного приложения; злоумышленники применяют технику Port knocking («стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет.
Передаваемые данные в рамках соединение с сервером управления вредоносного ПО шифруются, а для входа ограничений межсетевых экранов используется построение сетевых туннелей. Кроме того, в качестве управляющих серверов (через которые оператор отдает команды вредоносному ПО) злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ритейлеры). Это позволило замаскировать вредоносный трафик. А проникновение в компьютеры, не подключенные к интернету, осуществлялось путем создания прокси-сервера.
Также GoblinRAT пытался встроиться в утилиту Atop, отвечающую за мониторинг процессов в Linux, и подменял метки времени. В результате ни EDR (класс решений для обнаружения и изучения вредоносной активности на конечных точках), ни SIEM (обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений, и обеспечивает реакцию на них) не могли найти вредоносное ПО.
Кто мог создать GobliRAT
После обнаружения вредоносного ПО GobilnRAT были созданы индикаторы компрометации, благодаря чему данное ПО также было обнаружено еще в трех организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой: они имели удаленный доступ с правами администратора ко всем сегментам сети. Как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ к течении трех лет — то есть с 2020 г., а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.
«Для создания и использования GoblinRAT злоумышленники должны были обладать очень высоким уровнем профессионализма и быть хорошо замотивированными», — полагает инженер Sloar 4RAYS Константин Сигалов. — Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение вредоносного ПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки их других регионов. Наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях».
GoblinRAT интересует только конфиденциальная информация, хранящаяся на серверах госорганов и их подрядчиков, в том числе в сетях с ограниченным доступом к интернету. По мнению ГК «Солар», GoblinRAT может иметь одно из следующих происхождений: операцией известной прогосударственной группировки, кардинально обновившей свои инструменты и тактики; свидетельством существования новой прогударственной группировки или профессиональных наемников; делом рук мотивированного и крайне профессионального взломщика-одиночки».
Статистики хакерских атак на российские организации
По данным ГК «Солар», в 2023 г. на государственные организации пришлось 77% атак, на промышленность — 11%, на телекоммуникации — 9%, 3% — на финансовый сектор. В 2024 г. на государственный сектор пришлось 35% атак, на промышленность — 17%, на телекоммуникации — 8%, на облачных провайдеров и Ит-разработку — по 6%, на финансовый сектор — 5%, на медицину и общественные организации — по 4%.
В 2023 г. основной целью атакующих был активизм и уничтожение данных — 45%. 37% пришлось на шпионаж, 18% — на уничтожение данных. В 2024 г. шпионаж вышел на первое место — на него пришлось 54%. На втором месте находятся финансы — 20%, на уничтожение данных и активизм пришлось по 11%.
Какие группировки больше всего атакуют Россию
После начала специальной военной операции (СВО) России на Украине российские организации стали активно подвергаться хакасским атакам из Украины. В 2023-2024 гг. проукраинские группировки проводят как целевые атаки, так и массово эксплуатируют уязвимости в системах. до которых могут «дотянуться». Их основными задачами является шпионаж и уничтожение инфраструктуры. В 2024 г. 70% случаев атаки пришлись на проукраинские группировки: Shedding Zmiy, Liffting Zmiy, Fairy Trickster (Head are), Morbid Trickster (Morlock) и Moonshine Trickster (Werewolves).
Также чувствуется влияние группировки Obstinate Mogwai из Юго-Восточной Азии. Она работает против государственных организаций, ее задачей является только шпионаж. «Происходящее является большим пентестов (тестирование на проникновение) российской инфраструктуры, — считает инженер Solar 4Days Геннадий Сазонов. — Это достаточно болезненный процесс, но некоторые компании сильно обжигаются и повышают уровень своей безопасности. Атакующие пока опережают, но грамотная реализация защитных мер может помочь снизить ущерб от атаки».