Экспертный центр безопасности Positive Technologies (PT ESC) объявил об обнаружении новой киберпреступной группировки, которая получила наименование Space Pirates («Космические пираты»). В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, госучреждения и предприятия из авиакосмической и электроэнергетической отраслей. По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали во внутренних обозначениях.
Долгосрочный шпионаж
В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры. Особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных программных закладок, таких как MyKLoadClient, BH_A006 и Deed RAT. Впрочем в арсенале Space Pirates есть и хорошо известное ВПО: закладки PlugX, PoisonIvy, ShadowPad, Zupdax и инструмент удаленного исполнения сценариев ReVBShell.
По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трёх различных регионах. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует. Поскольку атакующие применяют компановщик Royal Road RTF (или 8.t) и модифицированную закладку PcShare, используемую главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык, то возникло предположение об азиатском происхождении группировки. Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина совместного использования вредоносных компонент различными группировки, по словам специалистов Positive Technologies, кроется в обмене инструментарием между злоумышленниками или в разработке инструментов для разных группировок одним разработчиком. Это частое явление для APT-групп азиатского региона.
«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428, — раскрыл подробности расследованных атак руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов. — Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам. При этом нам не удалось обнаружить на китайских хакерских форумах ни утекших из атакованных компаний документов, ни продажи учётной информации». Такое поведение характерно не для промышленных шпионов, но для наемников, выполняющих определенный заказ, или государственных спецслужб.
Не стать жертвой
По мере самостоятельного развития российских технологий количество шпионов, которые следят за формированием отечественных отраслей и логистических цепочек будет только расти. Причем для организации подобного шпионажа будут задействованы большие ресурсы как со стороны государственных структур, так и руководством транснациональных корпораций. Отдельным компаниями сложно противостоять подобным атакам с помощью популярных инструментов защиты, таких как антивирусы и межсетевые экраны, потому что это рыночные продукты нацеленные на защиту от массовых атак хактивистов и коммерческих группировок. Для кибервойск и спецслужб они обычно преграды не составляют. Причем целью APT-атак высшего уровня может стать любая компания даже сегмента СМБ, если у нее есть клиенты из интересующей шпионов отрасли — именно атаки через партнёров сейчас развиваются наиболее активно. Выявление подобных спецопераций в киберпространстве является сложной задачей, и для ее упрощения была создана ГосСОПКА, подключение к которой после указа №250 от 1 мая 2022 года становится обязательной для большого количества организаций. Подключение к этой системе может быть единственной реальной рекомендацией, чтобы хотя бы максимально оперативно обнаруживать подобного типа атаки.
