Хищение новейших разработок могло быть целью как минимум 97 атак хакеров Rare Wolf на организации и промышленные предприятия из России и стран ближнего зарубежья в 2023 году, выяснили «Известия». Более детальный анализ активности этой группировки позволил выявить более 400 атак, совершенных с 2019 года, рассказали специалисты по кибербезопасности. Деятельность Rare Wolf примечательна сразу несколькими моментами. Во-первых, хакеры не наносят незамедлительный ущерб жертве атаки, а внедряются в ее системы, чтобы скрупулезно и скрытно собирать информацию. Во вторых, используют для этого в том числе легальные программы — из-за этого службам безопасности предприятий гораздо сложнее обнаружить «чужаков».
Как атакует группировка Rare Wolf
Хакерская группировка Rare Wolf («Редкий волк») с начала 2023 года совершила как минимум 97 атак на организации из РФ и стран ближнего зарубежья, в том числе промышленные предприятия, рассказали «Известиям» специалисты по информационной безопасности компании Bi.Zone, которые обнаружили эту активность. Среди целей были, в частности, предприятия тяжелого машиностроения, а охотиться хакеры могли за информацией о новых исследованиях и разработках компаний, в том числе, за так называемыми «документами для служебного пользования». Более детальный анализ деятельности Rare Wolf позволил выявить более 400 атак, совершенных с 2019 года.
— Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr, — рассказал «Известиям» руководитель Bi.Zone Threat Intelligence Олег Скулкин.
После открытия файла на компьютер жертвы загружалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам.
— Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства, — объяснил Олег Скулкин.
Одной из целей злоумышленников был доступ к Telegram-аккаунтам сотрудников компаний, потому что через мессенджеры, в нарушение правил цифровой безопасности, часто пересылаются служебные документы и другая информации, интересная с точки зрения промышленного шпионажа.
На компьютерах жертв хакеры искали, в частности, зашифрованный ключ, который идентифицирует сессию в Telegram. Это позволяло им зайти в скомпрометированную учетную запись без авторизации и незаметно для собственника аккаунта контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей, рассказал Олег Скулкин.
Что было целью хакеров
Основная цель кибермошенников — продажа украденных данных на теневых форумах, сообщил эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК «Солар» Антон Каргин. Ущерб от подобных атак варьируется в зависимости от значимости украденных данных и размера атакованной компании, подчеркнул он.
— При этом причиненный организациям урон может быть еще выше, если полученными данными воспользуются другие злоумышленники, — добавил Антон Каргин.
Хакеры хорошо осведомлены об отечественном ПО — например, они используют Mipko Employee Monitor и мимикрируют под «1С:Предприятие». Исходя из этого, можно сделать вывод о том, что члены данной группировки — выходцы из стран СНГ, отметил специалист.
— Нарушители не стремятся незамедлительно после закрепления в системе нанести значительный ущерб, например зашифровать данные атакуемых организаций, а осуществляют достаточно скрупулезный и скрытый сбор информации. Обращает на себя внимание и целенаправленность атак: они явно ориентированы на рабочие места работников финансовых подразделений малого и среднего бизнеса, и успешные атаки на них обычно не приводят к значительным инфоповодам, — сказал директор по информационной безопасности компании T1 Cloud Алексей Кубарев.
Находясь во внутренней сети компании продолжительное время, атакующие могут нанести большой вред организации, получая доступ к внутренним ресурсам, электронной почте и аккаунтам в социальных сетях сотрудников, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.
Для совершения атак хакеры активно арендовали вычислительные мощности, находящиеся на территории России, что отражает общий тренд на использование сетевой инфраструктуры внутри страны, которая не вызывает подозрений и не блокируется провайдерами, сообщил «Известиям» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
— Хакерская группа Rare Wolf представляет собой реинкарнацию группировки Leak Wolf, которая активно работала по российским предприятиям весной 2023 года. Последняя также отметилась нестандартным подходом к осуществлению хакерских атак, во многом схожим с тем, который демонстрирует Rare Wolf, — сказал специалист.
Они также ориентировались на атаку с использованием данных сотрудников взламываемой компании. Новацией Rare Wolf стало то, что данные работников получали в активном режиме, а не пассивно из утечек, как это было ранее, подчеркнул Игорь Бедеров.
Для того чтобы защитить организацию от подобных атак, требуется комплексный подход: он включает использование надежных защитных решений, которые не пропустят вредоносные письма и файлы на корпоративные устройства, а также регулярное обучение сотрудников основам кибергигиены. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией. Сотрудники компаний должны быть в курсе уловок злоумышленников и не должны попадаться на распространенные схемы мошенничества, резюмировал Леонид Безвершенко.