В ходе расследования эксперты компании установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Хуже того, изучение деталей инцидента показало, что сеть предприятия была скомпрометирована давно и, судя по всему, не одной APT-группой.
Атаки на НИИ
Исследователи пишут, что первая хакерская группа скомпрометировала внутреннюю сеть института еще осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети НИИ был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.
Вторая хакерская группа скомпрометировала сеть института не позднее апреля 2019, и в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. К тому же исследователи выяснили, что примерно в то же время — в мае 2019 года — Skeye был внедрен в сеть другого российского НИИ.
В июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием того же бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.
Более того, в декабре 2017 года на серверы обратившегося к экспертам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства малвари ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. Аналитики пишут, что располагают данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.
Атрибуция
Деятельность первой APT-группы не позволила экспертам однозначно идентифицировать ее как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группировка активна как минимум с 2015 года.
Второй APT-группой, атаковавшей НИИ, по мнению «Доктор Веб», была TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода приводятся следующие факты:
- в коде бэкдоров DNSepи BackDoor.Cotx имеются явные пересечения и заимствования, и автор бэкдора DNSep явно имел доступ к исходным кодам Cotx;
- Skeye.1и Trojan.Loader.661 использовались в рамках одной атаки, при этом последний является известным инструментом TA428;
- бэкдоры, проанализированные в рамках атак, имеют пересечения в адресах управляющих серверов и сетевой инфраструктуре с бэкдорами, используемыми группировкой TA428.
Индикаторы компрометации доступны на GitHub компании, тогда как сравнительный анализ кода обнаруженных бэкдоров и технические описания малвари можно найти по ссылкам приведенным выше.
