Раскрыта сеть хакеров, шпионивших против РФ

Хакерская группировка Rare Wolf («Редкий волк») с начала 2023 года совершила почти 100 атак на российские организации, в том числе промышленные предприятия. Хищение новейших, в том числе секретных разработок, было целью хакеров, атакующих российские организации и промышленные предприятия в 2023 году. Детальный анализ активности этой группировки позволил выявить свыше 400 атак, совершенных с 2019 года, рассказали специалисты по кибербезопасности, выяснили «Известия». 

Деятельность Rare Wolf примечательна сразу несколькими моментами. Во-первых, хакеры не наносят незамедлительный ущерб жертве атаки, а внедряются в ее системы, чтобы скрупулезно и скрытно собирать информацию. Во-вторых, используют для этого в том числе легальные программы – из-за этого службам безопасности предприятий гораздо сложнее обнаружить «чужаков», рассказали специалисты по информационной безопасности компании Bi.Zone.  

В рамках вредоносной кампании злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. После открытия файла на компьютер жертвы загружалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам. Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor (легитимное ПО для мониторинга действий сотрудников, которое используют корпоративные службы безопасности).

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников отмечает, что атаки примечательны тем, что они собрали практически полный перечень уязвимостей на предприятиях: как технических, так и организационных. Среди них – нарушение организационных мер защиты, использование постороннего ПО на АРМ, отсутствие учета приложений, работающих в сети и нарушение режима работы с конфиденциальными документами и нарушение организационных мер защиты, использование постороннего ПО на АРМ, отсутствие учета приложений, работающих в сети и нарушение режима работы с конфиденциальными документами. 

«Изучая стиль и метод проведения атаки Rare Wolf на промышленные предприятия, меня не покидала мысль, что я читаю мемуары Кевина Митника, так как сценарий и метод проведения был взят из золотой коллекции классических хакерских атак 20 века. Данные атаки были проведены в лучшем стиле Кевина Митника: заход в систему через социальную инженерию посредством фишинга, внедрение в систему под видом легитимного ПО, последующая кража доступа к мессенджеру, в котором передавали конфиденциальную информацию. В целом, подобную атаку можно рассматривать перед студентами курсов в качестве учебного пособия и хрестоматийного примера для построения комплексных систем защиты информации и необходимости обучения персонала», – говорит киберэксперт. 

Ранее в беседе с IT Speaker генеральный директор «Кода Безопасности» Андрей Голов отметил, что в стране растет востребованность NGFW как ключевого решения в обеспечении безопасности страны, однако российские ИБ-компании занялись разработкой собственных NGFW относительно недавно. Как отметил эксперт, исторически сложилось, что ИБ-специалисты концентрировались на криптографической защите сетей, которые практически полностью были построены на отечественных решениях, в то же время файерволы были зарубежными. Однако в связи с уходом иностранных вендоров, а также законодательными мерами, интерес ИБ-компаний в разработке таких решений возрос.