Компания «Доктор Веб», российский разработчик средств антивирусной защиты Dr.Web, на днях опубликовала результаты масштабного исследования целевых атак, совершенных хакерами на государственные учреждения Казахстана и Киргизии. Поводом к исследованию послужили обращения в «Доктор Веб» представителей этих госучреждений: речь шла о подозрениях на наличие вредоносных программ в сетях этих организаций. В ходе исследования к аналитикам попали образцы ПО, которое, в отличие от массовых угроз, редко удается «пощупать своими руками». Исследование таких инцидентов позволяет проанализировать стратегию и инструменты, используемые злоумышленниками для взлома компьютерных систем, и выработать соответствующие меры противодействия.
Все началось в марте 2019 года, когда в «Доктор Веб» обратились представители одного из госучреждений Республики Казахстан. Именно после этого аналитики обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждения. В феврале 2020 года, когда аналогичное обращение поступило из Киргизии, появились основания предполагать связь между этими атаками, начавшимися задолго до того, как у сотрудников учреждений появились первые подозрения.
Опуская технические подробности хакерского инструментария, отметим, что в обоих случаях злоумышленники применяли два условных типа троянов: массовые, оказавшиеся на большинстве компьютеров сети, и специализированные, установленные на серверы, представляющие особый интерес для атакующего. Ряд троянов второго типа принадлежал к неизвестному ранее семейству XPath. Они обладают руткитом — механизмом для сокрытия своей сетевой активности и следов присутствия в системе (вирусописатели вкладывают значительные ресурсы в заметание своих следов, что позволяет долгое время проводить атаку без помех). Обнаружить этот руткит удалось при помощи антируткита Dr.Web, установленного на атакованном сервере. Среди других интересных находок — особенность реализации доступа к командной оболочке трояна Mirage. Эта вредоносная программа использовала файлы, которые аналитики «Доктор Веб» смогли получить с зараженного сервера. Таким образом удалось увидеть команды, выполнявшиеся злоумышленниками с помощью трояна, а также полученные в ответ данные