Эксперты по кибербезопасности обнаружили новую хакерскую группировку ChamelGang, которая атакует учреждения в десяти странах мира, в том числе в России. С марта под прицел попали отечественные компании в ТЭК и авиапроме, как минимум две атаки оказались успешными. Злоумышленников интересует данные из скомпрометированных сетей, за нападениями могут стоять проправительственные группировки, полагают эксперты.
Российские компании атакует новая хакерская группировка, сообщили “Ъ” в Positive Technologies, которая расследовала инциденты в компаниях ТЭК и авиапрома. По данным компании, первые атаки были зарегистрированы в марте, хакеров интересует хищение данных из скомпрометированных сетей.
Жертвами по всему миру также стали учреждения в десяти странах, включая Индию, США, Тайвань и Германию. В четырех из них были обнаружены скомпрометированные правительственные серверы, говорят эксперты Positive Technologies.
Там отмечают, что все пострадавшие компании получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT). В «Лаборатории Касперского» «отдельные компоненты атаки» группировки наблюдают как минимум с мая.
Новая группировка получила название ChamelGang от слова chameleon, так как хакеры маскируют вредоносное ПО и сетевую инфраструктуру под легитимные сервисы. Например, они регистрируют фишинговые домены, имитирующие сервисы поддержки, доставки контента и обновлений Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. Среди инструментов группировки в том числе новое, ранее не описанное вредоносное ПО ProxyT, BeaconLoader и бэкдор DoorMe, то есть «лазейка», которая позволяет хакеру получить доступ в систему.
В российских структурах ТЭКа и авиапрома были скомпрометированы серверы, уточняют в Positive Technologies.
В одной из атак хакеры сначала напали на дочернюю организацию, а через две недели — на головную компанию: узнали пароль локального администратора на одном из серверов и проникли в сеть компании по протоколу удаленного рабочего стола (RDP). Хакеры оставались необнаруженными в корпоративной сети в течение трех месяцев и за это время получили контроль над большей частью сети, включая критически важные серверы и узлы.
Во второй атаке для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange, о которой стало известно в августе. Хакеры присутствовали в инфраструктуре организации восемь дней и значимого ущерба нанести не успели, отмечают в Positive Technologies.
Эксперт по кибербезопасности «Лаборатории Касперского» Алексей Шульмин подтвердил таргетированный характер атаки и широкую географию жертв, в том числе «единичные попытки атак в России». Некоторые утилиты группировки, добавил он, имеют интерфейс на китайском языке.
Эксперты названия жертв ChamelGang не раскрывают, сами компании потенциальные уязвимости комментируют неохотно.
В энергетической «Т Плюс» сообщили “Ъ”, что не сталкивались с деятельностью новой группировки. Для выявления возможных хакерских атак, подчеркнули в компании, вирусных активностей и других нарушений центр информационной безопасности «Т Плюс» ведет круглосуточный мониторинг.
Промышленные предприятия не всегда способны выявить целенаправленную кибератаку и годами могут оставаться в иллюзии безопасности, отмечает глава отдела исследования угроз ИБ Positive Technologies Денис Кувшинов. При этом на практике злоумышленник более чем в 90% случаев может проникнуть в корпоративную сеть промышленного предприятия, и почти каждое проникновение приводит к полному контролю над инфраструктурой целевой организации, подчеркивает он. Предприятия этой сферы, добавляет эксперт, входят в тройку наиболее часто атакуемых отраслей и в 84% таких случаев в прошлом году злоумышленники нацеливались на хищение информации.
Атаки на стратегически важные промышленные объекты, в том числе ТЭК и авиапром, полагает глава отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский, нередко реализуют кибернаемники и проправительственные группировки.