В 2020–2024 годах высокопрофессиональная группировка провела серию таргетированных атак, внедрив бэкдор GoblinRAT. Сначала злоумышленники проводили детальную разведку инфраструктуры жертв, после чего вручную внедряли вредонос, маскируя его под легитимные приложения (например, утилиту Atop для мониторинга Linux). Далее GoblinRAT использовал механизм Port knocking для установки скрытого соединения в изолированных сетях и шифровал передаваемые данные через взломанные легитимные сайты. После закрепления в системе злоумышленники получали полный административный контроль, сохраняя доступ до трех лет в отдельных случаях. Для маскировки бэкдор самоуничтожался при отсутствии связи с оператором, многократно перезаписывая свои файлы случайными данными.
В результате атак группировка могла свободно красть, изменять или удалять конфиденциальную информацию, а также создавать сетевые туннели для обхода межсетевых экранов. GoblinRAT обнаружили только после ручного анализа тысяч мегабайт данных, заметив минимальные отклонения в именах процессов.
- Взлом и закрепление в инфраструктуре
- Проникновение в закрытые сегменты
- Контроль технологических процессов для совершения диверсии
- Влияние на экономику и обороноспособность
- Нарушение цепочек поставок сырья и сбой циклов непрерывного производства
- Получение конфиденциальной информации на серверах госорганов и их подрядчиков (в том числе в сегментах сети с ограниченным доступом в интернет)
- Контроль инфраструктуры для возможности проведения деструктивных действий в нужный момент
- Уникальные техники под каждую жертву
- Уникальные модули вредоносного ПО
- 0-day уязвимости программного и аппаратного обеспечения
- Утилиты Living off the Land (то есть использующие различные легитимные программы) и различные утилиты с открытым кодом для горизонтального перемещения и выстраивания прокси-туннелей
- Использование новых техник, для которых еще не реализованы методы защиты или обнаружения
Подробнее о них читайте здесь.
