Перейти к основному содержанию
Реклама
Прямой эфир
Мир
Блинкен обсудил с главой МИД Египта угрозу эскалации ситуации вокруг Ирана
Общество
Губернатор предупредил об угрозе подтопления центральной части Кургана
Мир
Китай намерен углубить сотрудничество с Северной Кореей
Мир
Минэнерго Австрии подготовило законопроект по прекращению поставок газа из РФ
Происшествия
Средства ПВО уничтожили украинский беспилотник над Белгородской областью
Мир
SpaceX осуществила 20-й запуск ракеты Falcon 9 со спутниками на борту
Происшествия
Землетрясение магнитудой 3,1 произошло в Кузбассе
Мир
На Украине объяснили невозможность сбить поразившую Трипольскую ТЭС ракету
Общество
Жителей подтопленного дома в Оренбурге эвакуируют после обрушения пристройки
Общество
Синоптики пообещали москвичам облачную погоду и до +14 градусов 13 апреля
Общество
Концерты Куклачева состоятся без участия артиста из-за перенесенной операции
Мир
Глава алмазного центра Антверпена подал в отставку из-за санкций против РФ
Общество
В Оренбургской области за сутки от воды освободились 1645 домов
Мир
Экс-посла США в Боливии осудили на 15 лет тюрьмы за шпионаж в пользу Кубы
Происшествия
В МЧС спрогнозировали затопление нижней части Южно-Сахалинска с 14 апреля
Общество
Последний блок ЗАЭС перевели в режим «холодный останов»
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
вкл
выкл

Хищение новейших разработок могло быть целью как минимум 97 атак хакеров Rare Wolf на организации и промышленные предприятия из России и стран ближнего зарубежья в 2023 году, выяснили «Известия». Более детальный анализ активности этой группировки позволил выявить более 400 атак, совершенных с 2019 года, рассказали специалисты по кибербезопасности. Деятельность Rare Wolf примечательна сразу несколькими моментами. Во-первых, хакеры не наносят незамедлительный ущерб жертве атаки, а внедряются в ее системы, чтобы скрупулезно и скрытно собирать информацию. Во вторых, используют для этого в том числе легальные программы — из-за этого службам безопасности предприятий гораздо сложнее обнаружить «чужаков».

Как атакует группировка Rare Wolf

Хакерская группировка Rare Wolf («Редкий волк») с начала 2023 года совершила как минимум 97 атак на организации из РФ и стран ближнего зарубежья, в том числе промышленные предприятия, рассказали «Известиям» специалисты по информационной безопасности компании Bi.Zone, которые обнаружили эту активность. Среди целей были, в частности, предприятия тяжелого машиностроения, а охотиться хакеры могли за информацией о новых исследованиях и разработках компаний, в том числе, за так называемыми «документами для служебного пользования». Более детальный анализ деятельности Rare Wolf позволил выявить более 400 атак, совершенных с 2019 года.

— Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr, — рассказал «Известиям» руководитель Bi.Zone Threat Intelligence Олег Скулкин.

После открытия файла на компьютер жертвы загружалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам.

хакер
Фото: РИА Новости/Владимир Трефилов

— Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства, — объяснил Олег Скулкин.

Одной из целей злоумышленников был доступ к Telegram-аккаунтам сотрудников компаний, потому что через мессенджеры, в нарушение правил цифровой безопасности, часто пересылаются служебные документы и другая информации, интересная с точки зрения промышленного шпионажа.

На компьютерах жертв хакеры искали, в частности, зашифрованный ключ, который идентифицирует сессию в Telegram. Это позволяло им зайти в скомпрометированную учетную запись без авторизации и незаметно для собственника аккаунта контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей, рассказал Олег Скулкин.

Что было целью хакеров

Основная цель кибермошенников — продажа украденных данных на теневых форумах, сообщил эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК «Солар» Антон Каргин. Ущерб от подобных атак варьируется в зависимости от значимости украденных данных и размера атакованной компании, подчеркнул он.

хакер
Фото: ИЗВЕСТИЯ/Анна Селина

— При этом причиненный организациям урон может быть еще выше, если полученными данными воспользуются другие злоумышленники, — добавил Антон Каргин.

Хакеры хорошо осведомлены об отечественном ПО — например, они используют Mipko Employee Monitor и мимикрируют под «1С:Предприятие». Исходя из этого, можно сделать вывод о том, что члены данной группировки — выходцы из стран СНГ, отметил специалист.

— Нарушители не стремятся незамедлительно после закрепления в системе нанести значительный ущерб, например зашифровать данные атакуемых организаций, а осуществляют достаточно скрупулезный и скрытый сбор информации. Обращает на себя внимание и целенаправленность атак: они явно ориентированы на рабочие места работников финансовых подразделений малого и среднего бизнеса, и успешные атаки на них обычно не приводят к значительным инфоповодам, — сказал директор по информационной безопасности компании T1 Cloud Алексей Кубарев.

Находясь во внутренней сети компании продолжительное время, атакующие могут нанести большой вред организации, получая доступ к внутренним ресурсам, электронной почте и аккаунтам в социальных сетях сотрудников, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.

касперский
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Для совершения атак хакеры активно арендовали вычислительные мощности, находящиеся на территории России, что отражает общий тренд на использование сетевой инфраструктуры внутри страны, которая не вызывает подозрений и не блокируется провайдерами, сообщил «Известиям» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

— Хакерская группа Rare Wolf представляет собой реинкарнацию группировки Leak Wolf, которая активно работала по российским предприятиям весной 2023 года. Последняя также отметилась нестандартным подходом к осуществлению хакерских атак, во многом схожим с тем, который демонстрирует Rare Wolf, — сказал специалист.

Они также ориентировались на атаку с использованием данных сотрудников взламываемой компании. Новацией Rare Wolf стало то, что данные работников получали в активном режиме, а не пассивно из утечек, как это было ранее, подчеркнул Игорь Бедеров.

Для того чтобы защитить организацию от подобных атак, требуется комплексный подход: он включает использование надежных защитных решений, которые не пропустят вредоносные письма и файлы на корпоративные устройства, а также регулярное обучение сотрудников основам кибергигиены. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией. Сотрудники компаний должны быть в курсе уловок злоумышленников и не должны попадаться на распространенные схемы мошенничества, резюмировал Леонид Безвершенко.

Прямой эфир