Лаборатория Касперского нашла центр кибервойны

Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию, которая была направлена на кражу конфиденциальных данных из десятков организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники использовали продвинутые техники и инструменты для шпионажа, включая модуль для проникновения в изолированные сети с помощью USB-накопителей и бэкдор Linux MATA.

Атака началась в августе 2022 года с рассылки целевых фишинговых писем, содержащих вредоносные документы Word. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.

Для реализации атаки злоумышленники использовали три новых поколения вредоносного ПО MATA, включая доработанный MATA второго поколения, а также новые версии, получившие имена MataDoor и MATA пятого поколения. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали cерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением, в совокупности с применением версии вредоносного ПО MATA для Linux, позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.

При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.

Атакующие также продемонстрировали высокий уровень подготовки и умение обходить защитные решения, установленные в атакованных средах. Они применяли множество техник для скрытия своей активности, таких как использование руткитов, уязвимых драйверов, маскировка файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО.

Истинный бенефициар атаки остается неизвестным. Несмотря на то, что большая часть вредоносных документов Word содержала корейский шрифт Malgun Gothic (맑은 고딕), указывая на возможную связь с APT Lazarus, в новых версиях MATA были обнаружены технические приемы, которые могут свидетельствовать о вмешательстве других группировок — из альянса Five Eyes . Однако эти находки могут быть «ложными флагами» для сокрытия истинного заказчика атаки.