Вредоносное ПО незаметно проникло в сети госструктур и близких к ним IT-компаний. Слежка велась с 2020 года.
Хакеры оставались в сети нескольких российских ведомств и IT-компаний, работающих на госсектор, на протяжении трех лет, пока их деятельность не обнаружили специалисты Solar 4RAYS. Центр исследования киберугроз ГК «Солар» сообщил Forbes, что для взлома использовали сложное вредоносное ПО GoblinRAT. Эта атака стала одной из самых скрытных и сложных в практике российских экспертов. Оказалось, что заражение началось еще в 2020 году, однако первые признаки удалось обнаружить лишь в 2023 году.
Как работало вредоносное ПО
Эксперты Solar 4RAYS обнаружили GoblinRAT во время расследования инцидента в одной из IT-компаний, которые обслуживали органы власти. Вредоносная программа оказалась уникальной по уровню маскировки. Штатные специалисты обратили внимание на то, что в системных журналах сервера стали пропадать записи, а на одном из контроллеров домена была загружена утилита для кражи паролей. Этот факт вызвал подозрение, и к расследованию привлекли экспертов по кибербезопасности.
После тщательного анализа специалисты нашли код, который маскировался под легитимный процесс. GoblinRAT был замаскирован так, что отличался от оригинального файла всего одной буквой. Заметить такие мелкие различия практически невозможно без ручной проверки больших объемов данных. Это позволило хакерам длительное время оставаться незамеченными.
Источник: hi-tech.mail.ru
