Специалисты IZ:SOC, центра обнаружения и противодействия киберугрозам компании «Информзащита», засекли хакерскую атаку, проводимую предположительно небезызвестной китайской группировкой Winnti, которая действует с 2012 года. Основные жертвы хак-группы Winnti — организации, относящиеся к ВПК, аэрокосмической отрасли, правительственные организации, разработчики ПО. Winnti ранее неоднократно взламывала промышленные и высокотехнологичные компании из Тайваня и Европы, но, судя по всему, решила переключиться на российские компании. Анализируя действия и применяемый функционал злоумышленников, эксперты по киберпреступлениям «Информзащиты» однозначно говорят, что это попытка промышленного шпионажа.
Первые шаги разведки были зафиксированы в начале декабря. Все это время действия атакующих находились под контролем, несмотря на то, что в течение всей атаки специалисты по киберпреступлениям наблюдали не только работу вредоновсного ПО, но и действия атакующих, которые они проводили, как говорится, руками, в онлайн-режиме. И это представляло особую сложность, так как, например, способы сокрытия своего присутствия атакующие меняли на лету.
Эксперты по киберпреступлениям изучали техники, тактики и применяемые методы. В состав используемого злоумышленниками инструментария входили средства для сбора информации, средства удаленного управления, многофункциональный бекдор семества Bisonal, утилиты для сканирования сети на предмет наличия уязвимости CVE-2017-0144 (MS17-010), утилиты из набора Impacket, программы для перенаправления сетевого трафика и извлечения паролей из памяти, динамические библиотеки для инъекции вредоносного кода в легитимные процессы. Для повышения полномочий, по нашей оценке, использовались в том числе уязвимости нулевого дня в средствах защиты российского производства.
В процессе работы с этими данными Центром мониторинга IZ:SOC были выделены специфичные маркеры заражения, составлены рекомендации по обнаружению. Эта информация была предоставлена ряду вендоров средств защиты и другим заинтересованным лицам.
«Мы столкнулись с высокопрофессиональными действиями хорошо организованной группы. Часть инструментария, используемого ими, еще не попадалась „в поле“ на территории РФ и не детектировалось стандартными средствами защиты. Это еще раз говорит нам о том, что в современном мире противодействие киберугрозам возможно только с привлечением специалистов, обладающих специальными знаниями и соответствующим опытом, таких как работают в IZ:SOC», — отметил И.Мелехин, директор по развитию НИП «Информзащиты».