Троянца-шпиона не могли обнаружить три года в сетях российских госструктур

Найденный код маскировался под процесс легитимной программы

2 мин.
Троянца-шпиона не могли обнаружить три года в сетях российских госструктур

Специалисты по информационной безопасности Центра исследования киберугроз Solar 4RAYS ГК «Солар» сообщили об обнаружении уникального вредоносного программного обеспечения GoblinRAT, использующего широкий набор функций для маскировки своего присутствия в скомпрометированных сетях.

Специалисты выявили этот вредонос во внутренней IT-инфраструктуре сразу нескольких российских государственных структур и компаний, работающих в сфере информационных технологий и занимающихся обслуживанием государственного сектора. При этом наиболее ранние следы компрометации в сетях датируются 2020 годом. По словам аналитиков ГК «Солар», на данный момент это одна из наиболее сложных и скрытых кибератак, с которыми они сталкивались.

Впервые эксперты по информационной безопасности обнаружили троянца GoblinRAT в 2023 году, когда проводили расследование инцидента в одной из российских IT-компаний, предоставляющих услуги государственным структурам. В ИБ-департаменте компании обратили внимание на удаление системных журналов на сервере и скачивание утилиты для кражи учётных данных от аккаунтов с контроллера домена.

После привлечения к работе специалистов ГК «Солар» и длительного расследования был найден код, который маскировался под процесс легитимной программы, а параметры этого процесса мало чем выделялись. Файл, который его запускал, отличался от реального всего одной буквой в названии. Последующее расследование показало отсутствие у вредоноса GoblinRAT функции автоматического закрепления. В связи с этим киберпреступники на первом этапе изучали особенности IT-инфраструктуры целевой организации, после чего интегрировали вредоносное ПО под уникальной маскировкой, чаще всего под видом одного из приложений, которое уже работало на атакуемой системе. Аналитики уверены, что это явно демонстрирует таргетированный характер кибератаки.

В ГК «Солар» также подчеркнули, что с применением этого вредоносного ПО хакеры смогли получить полный контроль над сетевой инфраструктурой атакованных организаций. Операторы вредоносного ПО GoblinRAT имели полный доступ к скомпрометированной сетевой инфраструктуре и могли оттуда красть данные, модифицировать их и уничтожать на серверах любую информацию.

Как признались эксперты ГК «Солар», на данный момент вредоносное ПО GoblinRAT было обнаружено в сетях четырёх различных российских организаций. В одной из атакованных компаний злоумышленники имели доступ к внутренней IT-инфраструктуре в течение трёх последних лет, а наиболее короткая атака длилась целых 6 месяцев.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube