Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили атаку хак-группы Erudite Mogwai, которая 1,5 года скрывалась в сети неназванной российской госорганизации и собирала конфиденциальные данные. Злоумышленники прятались в системе контроля и управления доступом (СКУД, в нее входят турникеты, кодовые замки и так далее), которая не была подключена к ИБ-мониторингу.
Исследователи объясняют, что атакованное ведомство являлось клиентом центра противодействия кибератакам Solar JSOC. Однако к сервису мониторинга организация подключила только часть систем. Другая часть сети, включая СКУД, находилась вне мониторинга, что и сыграло на руку злоумышленникам: в марте 2023 года, когда они проникли на один из компьютеров, этого никто не заметил.
В итоге атакующим удавалось долгое время продвигаться по сети жертвы, пока они не дошли до систем, контролируемых Solar JSOC, где наконец были обнаружены.
Для проникновения в инфраструктуру злоумышленники взломали публично доступный веб-сервис, а через него попали на недоменный компьютер, являющийся частью инфраструктуры СКУД.
«Недоменные компьютеры находятся вне домена и администрируются (обновляются или настраиваются) вручную. В большинстве организаций это делается нерегулярно. К тому же, обычно в таких системах используются локальные учетные записи с привилегиями администратора, пароль от которых может быть даже не установлен. А если пароль и есть, то его делают очень простым, чтобы не забыть, и потом никогда не обновляют. Такие “забытые навеки системы” становятся находкой для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и полноценный ИБ-мониторинг всей сети так важны для надежной киберзащиты», – комментирует эксперт центра исследования киберугроз Solar 4RAYS Денис Чернов.
После проникновения в сеть злоумышленники не спеша развивали атаку. Для продвижения по сети они использовали модифицированный инструмент для проксирования трафика — Stowaway. С его помощью хакеры маскировали коммуникации между зараженными компьютерами и управляющими серверами. В целях обфускации с каждой итерацией изменялась структура протокола, добавлялись новые возможности.
За полтора года участники Erudite Mogwai скомпрометировали несколько десятков систем в организации (включая систему администратора) и применили более 20 различных инструментов, которые удаляли после использования.
Отмечается, что многие опенсорсные утилиты из арсенала хакеров были созданы китайскими разработчиками, а использованная в атаке версия утилиты Stowaway значительно отличалась от оригинала. Исследователи полагают, что Erudite Mogwai увидели в инструменте большую ценность и фактически создали собственный форк Stowaway, специально под свои нужды.
Хакеры начали модификацию утилиты с урезания ненужной им функциональности и продолжили с внесением минорных правок, включая переименование функций и изменение размеров структур (вероятно, чтобы сбить существующие детектирующие сигнатуры). Но теперь версия Stowaway, которую использует группировка, уже стала полноценным форком со следующими особенностями:
- сжатие трафика с использованием LZ4;
- использование XXTEA в качестве алгоритма шифрования;
- поддержка протокола QUIC;
- SOCKS5 прокси;
- проверка введенных параметров методом хеширования с помощью MD5 (при несоответствии хеша от флага -f программа завершает свою работу);
- кастомизированный протокол.
Среди других инструментов хакеров специалисты выделили:
- Shadowpad Light (он же Deed RAT) – бэкдор, использующий технику side loading для повышения скрытности;
- Keylogger CopyCat – кейлоггер;
- Fscan, Lscan – опенсорсные инструменты для быстрого сканирования и тестирования сетей;
- Netspy – утилита для обнаружения доступных внутренних сегментов сети;
- LuckyStrike Agent – многофункциональный бэкдор, способный использовать OneDrive в качестве управляющего сервера.
«Тактики и техники, используемые Erudite Mogwai, направлены, прежде всего, на обеспечение длительного и скрытного присутствия в атакованных системах. Например, первоначальное проникновение и развитие атаки они осуществили в незащищенном сегменте атакованной сети, что позволило им долго оставаться незамеченными. Это характерная черта профессиональных группировок, специализирующихся на кибершпионаже», – добавляет Денис Чернов.
Так как в код своей малвари эти хакеры добавляют отсылки к музыкальным и литературным произведениям, группа получила название Erudite Mogwai («erudite» — эрудированный).
Как минимум с 2017 года Erudite Mogwai (также известна как Space Pirates) атакует госучреждения, а также высокотехнологичные предприятия, например, в авиационно-космической и электроэнергетической индустрии. Жертвы хакеров были обнаружены в России, а также в Грузии и Монголии.
