Shedding Zmiy — не просто хакеры: 2 года профессиональной охоты на российские секреты

24.05.2024

Пентестеры, разработчики ВПО, операторы… кто стоит за группировкой?

Специалисты центра исследования киберугроз Solar 4RAYS обнаружили и изучили деятельность высокопрофессиональной хакерской группировки Shedding Zmiy. Эксперты рассказали , что злоумышленники использовали скомпрометированные данные российских компаний не только для последующих атак, но и публиковали их в открытом доступе. При этом основной целью группы, по словам исследователей, была не финансовая выгода, а кража конфиденциальной информации.

В Solar 4RAYS не смогли точно атрибутировать происхождение группы, но отметили несколько характерных этой группировке признаков. Во-первых, похищенные данные публиковались в проукраинских Telegram-каналах. Во-вторых, в части используемого инструментария Shedding Zmiy связана с другими группировками (Cobalt, exCobalt, Shadow, Comet, Twelve, «о происхождении которых в сообществе исследователей киберугроз сложилось определенное мнение»). В-третьих, в логах атак встречались команды на украинском и русском языках. Наконец, целями Shedding Zmiy становились преимущественно российские организации.

По словам экспертов, группировка представляет серьезную угрозу для РФ. Она применяет как общедоступное, так и собственное уникальное вредоносное ПО. Для внедрения вредоносов на системы жертв хакеры порой использовали скомпрометированные легитимные серверы. Shedding Zmiy умеет запутывать следы: группировка владеет «обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах; это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP)».

На первый взгляд разрозненные инциденты со схожими признаками использования ВПО, уязвимостей, инфраструктуры были объединены экспертами в один кластер. Всего специалисты Solar 4RAYS обнаружили следы применения 35 различных инструментов на этапах разведки, доставки вредоносов, распространения по сети и кражи данных. Для проникновения в сеть, эскалации привилегий и закрепления хакеры задействовали как минимум 20 известных уязвимостей в популярном корпоративном ПО.

Кроме технических средств, Shedding Zmiy охотно прибегала к социальной инженерии. Так, в одном случае злоумышленники создали фейковый Telegram-аккаунт, выдав себя за сотрудника ИБ-службы компании-жертвы, чтобы выпросить у реального работника пароль для входа в систему. Используя скомпрометированную учетку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

С начала 2022 года группа успела атаковать несколько десятков российских компаний из государственного, промышленного, телекоммуникационного и других ключевых секторов. В Solar 4RAYS не раскрыли имен конкретных жертв.

По оценке экспертов, в состав Shedding Zmiy входят отдельные команды разных специализаций: пентестеры, разработчики ВПО, операторы и администраторы. Минимально для подготовки таких атак требуется 5-6 высококвалифицированных сотрудников разного профиля и серьезный бюджет, включая средства на покупку коммерческого вредоносного ПО вроде SystemBC, EkipaRAT и DarkGate.

На подпольных форумах предложения о продаже DarkGate достигают примерно $100 000 за годовую лицензию. Сама разработка арсенала стоит на порядок больше, чем стоимость экземпляра ПО — то есть уже не $100 000, а $1 млн., отмечают эксперты. В свою очередь, стоимость атаки уже на порядок выше стоимости разработки — туда входит как несколько утилит, так и немалый ресурс самих атакующих.

Сами хакеры демонстрируют высочайший уровень разработки. В частности, ими был создан целый фреймворк для автоматизированной эксплуатации одной из уязвимостей. Это говорит об инвестициях значительных временных и финансовых ресурсов в развитие вредоносного арсенала группы.

Добавить комментарий

Your email address will not be published.

Предыдущая история

«Сбер» и «Автоваз» будут развивать автомобильную экосистему Lada

Next Story

Космические синоптики: как китайские радары следят за капризами Солнца

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop