Специалисты Positive Technologies зафиксировали новую волну атак хакерской группировки Space Pirates. Сообщается, что преступники разработали новые инструменты и увеличили число попыток атаковать российский государственный сектор, авиационную и ракетно-космическую промышленность, образовательные учреждения.
Напомню, что в первый раз активность группы зафиксировали в конце 2019 года, когда неназванное российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшейся малварью. В течение последующих лет специалисты Positive Technologies выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием той же малвари и сетевой инфраструктуры.
В прошлом году эксперты писали, что в России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих — госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.
Считается, что APT-группа действует как минимум с 2017 года, а ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты дали группировке имя Space Pirates по направленности первой выявленной атаки на авиационно-космический сектор и строке P1Rat, которую хакеры использовали в PDB-путях.
Как теперь сообщается в новом отчете экспертов, за последний год Space Pirates совершила успешные атаки по меньшей мере на 16 организаций в России. Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако группировка расширила сферу своих интересов.
Среди новых жертв выделяют государственные, образовательные учреждения, охранную организацию, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплексов, а также компании, занимающиеся информационной безопасностью. Жертвой Space Pirates стало также одно министерство в Сербии.
«В течение года мы часто сталкивались с активностью Space Pirates во время расследований кибератак, — говорит Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — За этот период тактики группировки практически не поменялись, однако она разработала новые инструменты, реализующие нестандартные техники (как, например, Voidoor), и улучшила старые. На одном из управляющих серверов Space Pirates мы обнаружили сканер Acunetix: это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который мы раньше не наблюдали».
Детальный технический анализ малвари и инструментов Space Pirates доступен в новом отчете Positive Technologies.