Информационная служба Хабра побывала на SOC Forum 2024. Это ещё одно мероприятие, посвящённое кибербезопасности, которое проводит группа компаний «Солар». Из‑за плотного рабочего графика мне удалось попасть туда только на третий день и всего на несколько часов. Однако я смог поговорить со специалистами ГК «Солар» об одном довольно интересном исследовании. Оно было посвящено уникальному вредоносному ПО GoblinRAT, способному оставаться незамеченным в инфраструктуре атакованных организаций благодаря продвинутым методам маскировки и обхода защитных систем. Вредонос был найден в сетях нескольких российских государственных организаций и компаний, предоставляющих услуги госсектору, с признаками присутствия с 2020 года. В каждой из затронутых организаций злоумышленники получили полный доступ к сети.
GoblinRAT обладает рядом сложных функций для скрытности: он маскируется под легитимные процессы и при необходимости самоуничтожается, перезаписывая файлы, чтобы затруднить расследование. Злоумышленники размещали серверы управления на взломанных легитимных сайтах, скрывая вредоносный трафик.
Я решил расспросить руководителя группы анализа ВПО центра Solar 4RAYS ГК «Солар» Владимира Нестора и инженера группы расследования инцидентов центра Solar 4RAYS ГК «Солар» Константина Жигалова об этом вредоносе и самом исследовании. Приятного чтения!
Как были найдены первые следы GoblinRAT? Это уже существующий вредонос или совершенно новый? Расскажите подробнее.
Жигалов Константин:
Обнаружение происходило так. Одна IT‑компания, предоставляющая услуги госсектору, заметила подозрительную активность: с контроллера домена сдампили хэши паролей пользователей и очистили логи системы. Сначала штатные ИБ‑специалисты пытались расследовать инцидент самостоятельно, но не смогли собрать больше информации. Тогда они обратились к нам. Мы пришли в инфраструктуру заказчика и начали анализировать серверы. Долгое время не могли найти никаких признаков закрепления атакующего в инфраструктуре, так как он использовал только предустановленное в системе программное обеспечение. Например, Python, SCP, SSH‑туннели и netsh portproxy на Windows для проксирования трафика. Мы постепенно расширяли область поиска, собирая все больше данных. Наконец, в одном из дампов оперативной памяти мы нашли подозрительные строки, которые не были привязаны к какому‑либо процессу, а просто находились в оперативной памяти. Это подтвердило наличие вредоносного ПО в инфраструктуре. Мы продолжили искать и, проанализировав ещё несколько серверов, нашли подозрительный процесс модифицированного Zabbix‑агента, который отличался от легитимного тем, что у него не было буквы «D» на конце бинарного файла и сервиса. Мы собрали бинарный файл и отдали его для исследования коллегам из отдела анализа ВПО Solar 4RAYS.
Вопрос такой: это стандартная атака через подрядчика?
Жигалов Константин:
Да. Взломав организацию‑подрядчика, атакующие смогли проникнуть в инфраструктуру компаний‑клиентов.
А удалось атрибутировать атаку к какой‑то группировке, или это новая группировка?
Нестор Владимир:
Нет, атрибутировать эту атаку к известной группировке не удалось. Причина в недостатке артефактов для атрибуции. Мы изучили GoblinRAT, но не нашли никаких упоминаний о нем в отчетах других вендоров или в открытых источниках. Мы пытались использовать Yara‑правила для поиска, но ничего не нашли. Обращались к коллегам по ИБ‑рынку, у которых есть глобальная инфраструктура сенсоров по всему миру, но они также не обнаружили ни GoblinRAT, ни чего‑то похожего в своих коллекциях. Мы находили только отдельные компоненты, как, например, питоновский скрипт, но самих программ, упоминающихся в отчетах, больше не было.
Получается, атака была только у одной компании, обслуживающей несколько ведомств, или этот GoblinRAT встречался у других подрядчиков?
Жигалов Константин:
В первом случае это была компания, предоставляющая услуги государственному сектору. Позже мы нашли еще два зараженных объекта, не связанных с первыми. Это тоже были госорганизации. Можно точно сказать, что атакующих интересуют данные госсектора.
То есть потенциально таких может быть больше?
Жигалов Константин:
Конечно, их может быть больше. Именно поэтому мы и опубликовали в блоге Solar 4RAYS подробное описание GoblinRAT с Yara‑правилами и индикаторами компрометации. Это позволяет организациям проверить свои инфраструктуры.
Если порассуждать, это может быть хактивизм? Или, учитывая описанные особенности, речь идет о высококлассной атаке с финансовыми или, возможно, политическими целями?
Нестор Владимир:
У нас нет данных, чтобы точно назвать причастную группировку. Но мотивация злоумышленников — это явно шпионаж. Украденные данные не всплыли в открытом доступе, а инфраструктура не была уничтожена. Атакующим удалось сохранять полный контроль над сетью жертвы в течение трех лет, не нанося видимого ущерба.
Жигалов Константин:
Мы знаем, что атакующие находились в зараженных инфраструктурах от 6 месяцев до 3 лет. Они минимизировали использование стороннего ПО, создавая как можно меньше шума. Например, они могли бы установить 7-Zip или WinRAR для архивирования, но вместо этого, чтобы скрыть свое присутствие, использовали только предустановленное ПО. В общем, их цель заключалась в том, чтобы оставаться незамеченными как можно дольше.
Удалось ли злоумышленникам получить какую‑то критически важную информацию? Были ли они в основном в периметре, или все‑таки проникли внутрь сети?
Жигалов Константин:
В тех инфраструктурах, которые мы наблюдали, у злоумышленников был полный доступ. Они могли делать все, что хотели, и обладали правами доменных администраторов и администраторов Linux‑систем. Что касается критичности данных, об этом может знать только сам владелец.
Были ли трудности при устранении атаки, учитывая полный доступ злоумышленников и возможность их наблюдения за вашими действиями?
Нестор Владимир:
Да, сложности возникали. Атакующие закреплялись не на одном хосте, а строили прокси‑цепочки внутри организации с использованием GoblinRAT, перемещаясь по узлам, например, дампя хэши паролей.
А были ситуации, когда нужно было действовать предельно осторожно, чтобы злоумышленник не заметил, что его обнаружили?
Нестор Владимир:
Да. Вся активность злоумышленников была сосредоточена на одном хосте, но закреплялись они на другом. Чтобы найти все следы, пришлось просканировать всю инфраструктуру. Этот процесс осложняется тем, что администраторы не всегда помнят обо всех узлах в своей инфраструктуре.
А ведомства, которые вы обнаружили они принадлежат к одной отрасли или нет?
Жигалов Константин:
Это госсектор. Комментировать более детально мы не можем.
Есть вероятность, что в некоторых просканированных и очищенных ведомствах может остаться бэкдор?
Жигалов Константин:
Мы тщательно просканировали инфраструктуру и удалили все найденное. Затем наблюдали за сетевой и хостовой активностью. Однако все понимают, что высококвалифицированные атакующие могут проникнуть в сеть снова с новыми образцами кода. Поэтому уровень безопасности в организации необходимо постоянно повышать.
Получается, о них еще услышат, так как несколько ведомств уже были затронуты. Они могли затаиться после вашей публикации, а потом появиться снова?
Нестор Владимир:
Это хороший вопрос. Последнюю активность GoblinRAT мы наблюдали в конце 2023 года. С тех пор мы не фиксировали атаки с применением этого ВПО. Возможно, злоумышленники затаились или сменили серверы управления.
А мониторинг Dark Web показал какую‑то активность?
Жигалов Константин:
Было бы интересно, если бы кто‑то из группировок признался, что это их работа. Но атакующий этого уровня вряд ли будет говорить о своей деятельности на форумах или каналах. Мы публикуем эту историю, размещаем Yara‑правила и индикаторы компрометации, чтобы другие организации могли просканировать свои инфраструктуры. Если кто‑то найдет что‑то похожее, мы будем рады продолжить совместную работу по изучению данного вредоноса.
Нестор Владимир:
Последний раз мы видели активность GoblinRAT в 2023 году, но публикуем отчет только сейчас, так как почти год наблюдали за активностью, ожидая, что злоумышленники вернутся. Но пока все тихо.
Придумали ли вы название для новой группировки?
Нестор Владимир:
Мы не можем причислить атакующих к какому‑то конкретному региону, максимум что‑то вроде NGC, как у астрономов. В нашей таксономии — это некоторая группировка, о которой мы пока мало что можем сказать.
Как определяется принадлежность атаки к конкретному региону?
Жигалов Константин:
Самый простой способ — это обнаружение в коде или на серверах каких‑то следов, характерных для определенного языка. Кроме того, у каждой группы есть собственные тактики и техники. Например, конкретные папки для закрепления, уязвимости, которые они предпочитают использовать, фишинговые письма. В совокупности это зачастую позволяет установить региональную принадлежность атаки.
Могла ли группировка, выпустившая «GoblinRAT», быть арестована в конце 2023 года, и по этой причине активность прекратилась?
Нестор Владимир:
Интересный вопрос. В случае ареста мы бы узнали о вредоносном коде этой группы. Однако похожего кода нигде не найдено, поэтому сложно сказать «да» или «нет».
Как сказали мне Владимир и Константин, по итогам анализа вредоноса были разработаны индикаторы компрометации и детектирующая логика, чтобы другие компании могли выявить GoblinRAT в своих системах. Вообще, с этими вредоносами, вирусами‑троянами, фишингом и прочими уловками я стал относиться ко всему с осторожностью. Устанавливаю антивирус на разные устройства, на телефоны, и не храню критичные файлы в облаке. Правда, всё равно некоторые из моих паролей антивирус находит скомпрометированными. После этого я меняю систему безопасности и обновляю пароли. Я буду продолжать выпускать такие материалы, чтобы распространять информацию о подобных проблемах и о том, как их решать. Ведь информационная безопасность, цифровая гигиена и техника безопасности требуют регулярного повторения. Спасибо за прочтение!
Автор: Lexx_Nimofff