Разделы

ПО Софт Цифровизация ИТ в госсекторе Инфраструктура Системное ПО Техника

Российские госкомпании атакованы новой хакерской группировкой. Под прицелом ОС Linux

Positive Technologies обнаружил новую кибергруппировку, скомпрометировавшую уже минимум 20 российских компаний. Хакеры модифицировали известный троян и атакуют Linux, для которой редко используют дополнительную защиту.

Атака на российские компании

Экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил новую кибергруппировку, которую назвал Hellhounds, сообщили CNews представители Positive Technologies.

Злоумышленники пользуются низким уровнем защиты Linux-систем, а созданная ими модификация уже известного трояна Decoy Dog незаметна для большинства средств защиты.

Hellhounds уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, ИТ-компании, организации космической и энергетической отраслей. Positive Technologies зафиксировала атаки также на компании, работающие в сферах строительства, образования, транспорта и логистики, ритейла, телекоммуникаций и безопасности.

Модификация трояна

Команда по расследованию инцидентов Positive Technologies обнаружила в октябре 2023 г. компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog. Троян позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре.

Новая группировка Hellhounds использует уязвимости Linux

Злоумышленники доработали вирусное ПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.

«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — сказал Денис Кувшинов, руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center).

Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.

Новая группировка

Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп.

Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время.

Одна из причин успешности атак заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux. Обнаруженные скомпрометированные узлы подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам, считают специалисты Positive Technologies.

Как защититься

Количество атак программ-вымогателей за 9 месяцев 2023 г. в России выросло на 75% по сравнению с аналогичным периодом 2022 г., а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн руб., писала «Российская газета» в октябре 2023 г. со ссылкой на исследование F.A.С.С.T.

Дмитрий Михеев, «АйТи Бастион» — Как обеспечить безопасность обмена данными
Импортонезависимость

Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux.

Специалисты предлагают использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux, применять дополнительные системы мониторинга (событий ИБ и управления инцидентами MaxPatrol SIEM, управления уязвимостями MaxPatrol VM), средства антивирусной защиты, продукты класса EDR (MaxPatrol EDR) и систему глубокого анализа промышленного трафика PT ISIM.

Также важно мониторить сетевую активность с помощью NTA-систем, например, PT Network Attack Discovery и проверять безопасность передаваемых объектов с помощью песочницы, например, PT Sandbox.

Анна Любавина