Российские эксперты обнаружили новую хакерскую группировку
О том, что экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую хакерскую группировку Space Pirates, говорится в поступившем в РБК исследовании этого центра. Такое название она получила из-за строки «P1Rat» в используемом злоумышленниками коде и нацеленности некоторых атак на авиационно-космическую отрасль.
Это так называемая APT-группа (advanced persistent threat, термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак), которая действует минимум с 2017 года. Ее ключевые интересы — шпионаж и кража конфиденциальной информации в том числе у российских организаций. Среди жертв, которых удалось выявить в ходе исследования угроз, — государственные учреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.
Впервые активность группы была зафиксирована в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора (какое — в исследовании не уточняется) получило фишинговое письмо с ранее не встречавшимся вредоносным программным обеспечением. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании, в том числе две с госучастием, которые были скомпрометированы подобным образом. По оценке экспертов Positive Technologies, две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1,5 тыс. внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свой вредоносный софт по крайней мере на 12 корпоративных узлов в трех различных регионах.
Представители Positive Technologies предполагают, что группировка имеет азиатские корни: на своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров.
Как рассказал руководитель отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов, в своем исследовании они видели много пересечений с инструментарием других группировок, при этом не было основных пересечений — по сетевой инфраструктуре, по тактикам и техникам. «Из этого можно сделать вывод, что в данном случае происходит работа новой группировки, которая использует в том числе и инструменты, характерные для атак других злоумышленников», — указал он. Представитель Positive Techonologies пояснил, что они только сейчас сделали заявление про новую группировку, поскольку лишь недавно завершили расследование.
Группировка Space Pirates возникла недавно и пока не описана в публичных источниках, рассказал РБК руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин, но в этой компании ее называют SpaceP1rates. По его словам, их Центр предотвращения киберугроз фиксировал активность этой группировки, среди ее основных жертв он также назвал госструктуры.
Старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо согласен, что техника этой группировки похожа на используемую азиатскими злоумышленниками. «В целом, предприятия, связанные с критической инфраструктурой, — одни из многочисленных сфер интереса злоумышленников, в том числе говорящих на китайском. Подобные атаки обычно не массовые, а сложные и таргетированные, направленные на шпионаж. Такой тип атак может быть наиболее опасен, если злоумышленникам удастся получить доступ к интересующим их данным», — отметил эксперт.
Если анализировать тактику группы, то становится понятно, что большая часть применяемых инструментов используется сразу несколькими хакерскими группами, которые, как правило, относят к китайским, говорит руководитель отдела исследования сложных киберугроз компании Group-IB Анастасия Тихонова. По индустриальной принадлежности атакуемых объектов (госучреждения, оборонная и авиационная отрасль, телекоммуникационный сектор и т.д.) также можно предположить китайское происхождение группы. Тихонова подчеркнула, что с каждым годом становится все сложнее относить ту или иную кампанию к конкретной хакерской группе, так как злоумышленники редко используют уникальные инструменты, а чаще дорабатывают те, что ранее применяли их «коллеги по цеху». В то же время группы объединяются для отдельных кампаний и «перемешиваются» друг с другом.