Solar Solar 4Ras Cyelarias Center for the Solar Of Companies odkryło atak na sieć nienazwanej rosyjskiej państwowej grupy hakerskiej przez Herudite Mogwai (Space Pirates), która rozpoczęła się ponad półtora roku temu. W tym czasie atakujący zebrali poufne dane, ukrywając swoją obecność w systemie dostępu i zarządzania.
Grupa słoneczna firm powiedziała Forbesowi, że ślady obecności hakerów znaleziono w systemie dostępu i kontroli (SCD, obejmuje one bramki, zamki kodu itp.), Które nie były podłączone do monitorowania IB. Dzięki temu cyberprzestępcy udało się cicho przeniknąć do komputera tego systemu w marcu 2023 r. Ponadto napastnicy posunęli się nad siecią ofiary, pozostając niezauważone, dopóki nie dotarli do systemów kontrolowanych przez Solar JSOC.
Po pierwsze, zhakowali publicznie niedrogą usługę internetową, za pomocą której padli na pusty komputer (to znaczy znajdujący się poza systemem, który umożliwia kontrolę centralnie), która jest podłączona do ACS. Według przedstawiciela Centrum Cyberhrozy Słonecznej podawane są komputery podstawowe, aktualizowane lub dostrojone. Często odbywa się to nieregularnie. „Ponadto, zwykle w takich systemach, stosowane są konta lokalne z uprawnieniami administratora, którego hasło nie można nawet ustalić. Takie „systemy zapomniane na zawsze” stają się znaleziskiem dla atakujących ”, zauważył ekspert.
W grupie słonecznej firm nie ujawnili nazwy rannej organizacji, a także ilości szkód. Według specjalistów IB grupa ma pochodzenie wschodnioazjatyckie, o czym świadczą taktyka, technologia i narzędzia. Nazywano go erudytowym Mogwai (erudyjski diabeł), ponieważ dodaje odniesienia do dzieł muzycznych i literackich do swojego szkodliwego kodu.
Po penetracji systemu hakerzy zaczęli opracowywać atak za pomocą zmodyfikowanego narzędzia do zawierania zastępowania ruchu Stowaway, co pomogło ukryć komunikację między zainfekowanymi komputerami a serwerami kontrolnymi. Przez półtora roku erudywiczni hakerzy Mogwai naruszali kilka tuzinów systemów organizacyjnych z wykorzystaniem ponad 20 różnych narzędzi, które zostały usunięte po użyciu. Wiele używanych użytkowników open source zostało stworzonych przez chińskich programistów, a wersja Utility Stowaway to ich własna modyfikacja oryginału, zaprojektowana specjalnie ze względu na ich potrzeby.
Jak zauważono w grupie słonecznej firm, tak długi pobyt hakerów w infrastrukturze IT nie jest w żadnym wypadku rzadki. W maju 2024 r. Eksperci ujawnili działalność grupy hakerów zrzucania Zmiy, która szpiegowała z rosyjskimi organizacjami od co najmniej 2022 r. W jej osiągnięciu – dziesiątki cyberataków na sektor publiczny, przemysł, telekomunikację i inne oddziały rosyjskiej gospodarki. Takie grupy są dobrze finansowane – kwoty przeznaczone przez niego na opracowanie narzędzi do hakowania i kupowania luk w zabezpieczeniach mogą osiągnąć miliony dolarów.
Według badania F6 (poprzednie FACCT) liczba cyberataków i liczba grup hakerów będzie nadal rosła. Jeżeli w 2023 r. Liczba grup APT (zaawansowane uporczywe zagrożenie), atakowanie Rosji i CIS, wynosiła 14, wówczas w 2024 r. Ich liczba wzrosła do 27.
