Перейти к основному содержанию
Реклама
Прямой эфир
Мир
Путин и Эрдоган обсудили ситуацию в Сирии
Мир
В Южной Корее приостановили работу парламента и партий из-за военного положения
Мир
Кобахидзе заявил о провале попыток оппозиции устроить майдан в Грузии
Мир
Президент Южной Кореи объявил о введении военного положения
Мир
Премьер Польши предсказал переломные события на Украине в ближайшие полгода
Мир
СМИ сообщили о новом разрыве кабеля между Швецией и Финляндией
Мир
Захарова поинтересовалась о вероятности введения Западом санкций против Сеула
Мир
СМИ сообщили о возможном запросе Украины систем ПРО у Запада из-за «Орешника»
Мир
На улицах Сеула появилась военная техника
Мир
СМИ сообщили об обсуждении в Европе прекращения огня на Украине
Мир
Министра обороны Украины вызвали в раду из-за скандала с бракованными минами
Армия
Бойцы ВС РФ рассказали о продвижении на часовоярском направлении
Мир
В Южной Корее ввели военное положение. Что известно к этому часу
Общество
Боевик ВСУ получил 24,5 года за убийство мирного жителя в ДНР
Мир
Во Франции назвали причиной потери доверия к Макрону покорность Байдену
Мир
Парламент Южной Кореи проголосовал за отмену военного положения
Спорт
Боец ММА Александр Емельяненко возобновил карьеру и подписал контракт с лигой NFL
Общество
За нелегальным производством алкоголя в России начнут следить из космоса
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Хищение новейших разработок могло быть целью как минимум 97 атак хакеров Rare Wolf на организации и промышленные предприятия из России и стран ближнего зарубежья в 2023 году, выяснили «Известия». Более детальный анализ активности этой группировки позволил выявить более 400 атак, совершенных с 2019 года, рассказали специалисты по кибербезопасности. Деятельность Rare Wolf примечательна сразу несколькими моментами. Во-первых, хакеры не наносят незамедлительный ущерб жертве атаки, а внедряются в ее системы, чтобы скрупулезно и скрытно собирать информацию. Во вторых, используют для этого в том числе легальные программы — из-за этого службам безопасности предприятий гораздо сложнее обнаружить «чужаков».

Как атакует группировка Rare Wolf

Хакерская группировка Rare Wolf («Редкий волк») с начала 2023 года совершила как минимум 97 атак на организации из РФ и стран ближнего зарубежья, в том числе промышленные предприятия, рассказали «Известиям» специалисты по информационной безопасности компании Bi.Zone, которые обнаружили эту активность. Среди целей были, в частности, предприятия тяжелого машиностроения, а охотиться хакеры могли за информацией о новых исследованиях и разработках компаний, в том числе, за так называемыми «документами для служебного пользования». Более детальный анализ деятельности Rare Wolf позволил выявить более 400 атак, совершенных с 2019 года.

— Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr, — рассказал «Известиям» руководитель Bi.Zone Threat Intelligence Олег Скулкин.

После открытия файла на компьютер жертвы загружалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам.

хакер
Фото: РИА Новости/Владимир Трефилов

— Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства, — объяснил Олег Скулкин.

Одной из целей злоумышленников был доступ к Telegram-аккаунтам сотрудников компаний, потому что через мессенджеры, в нарушение правил цифровой безопасности, часто пересылаются служебные документы и другая информации, интересная с точки зрения промышленного шпионажа.

На компьютерах жертв хакеры искали, в частности, зашифрованный ключ, который идентифицирует сессию в Telegram. Это позволяло им зайти в скомпрометированную учетную запись без авторизации и незаметно для собственника аккаунта контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей, рассказал Олег Скулкин.

Что было целью хакеров

Основная цель кибермошенников — продажа украденных данных на теневых форумах, сообщил эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК «Солар» Антон Каргин. Ущерб от подобных атак варьируется в зависимости от значимости украденных данных и размера атакованной компании, подчеркнул он.

хакер
Фото: ИЗВЕСТИЯ/Анна Селина

— При этом причиненный организациям урон может быть еще выше, если полученными данными воспользуются другие злоумышленники, — добавил Антон Каргин.

Хакеры хорошо осведомлены об отечественном ПО — например, они используют Mipko Employee Monitor и мимикрируют под «1С:Предприятие». Исходя из этого, можно сделать вывод о том, что члены данной группировки — выходцы из стран СНГ, отметил специалист.

— Нарушители не стремятся незамедлительно после закрепления в системе нанести значительный ущерб, например зашифровать данные атакуемых организаций, а осуществляют достаточно скрупулезный и скрытый сбор информации. Обращает на себя внимание и целенаправленность атак: они явно ориентированы на рабочие места работников финансовых подразделений малого и среднего бизнеса, и успешные атаки на них обычно не приводят к значительным инфоповодам, — сказал директор по информационной безопасности компании T1 Cloud Алексей Кубарев.

Находясь во внутренней сети компании продолжительное время, атакующие могут нанести большой вред организации, получая доступ к внутренним ресурсам, электронной почте и аккаунтам в социальных сетях сотрудников, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.

касперский
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Для совершения атак хакеры активно арендовали вычислительные мощности, находящиеся на территории России, что отражает общий тренд на использование сетевой инфраструктуры внутри страны, которая не вызывает подозрений и не блокируется провайдерами, сообщил «Известиям» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

— Хакерская группа Rare Wolf представляет собой реинкарнацию группировки Leak Wolf, которая активно работала по российским предприятиям весной 2023 года. Последняя также отметилась нестандартным подходом к осуществлению хакерских атак, во многом схожим с тем, который демонстрирует Rare Wolf, — сказал специалист.

Они также ориентировались на атаку с использованием данных сотрудников взламываемой компании. Новацией Rare Wolf стало то, что данные работников получали в активном режиме, а не пассивно из утечек, как это было ранее, подчеркнул Игорь Бедеров.

Для того чтобы защитить организацию от подобных атак, требуется комплексный подход: он включает использование надежных защитных решений, которые не пропустят вредоносные письма и файлы на корпоративные устройства, а также регулярное обучение сотрудников основам кибергигиены. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией. Сотрудники компаний должны быть в курсе уловок злоумышленников и не должны попадаться на распространенные схемы мошенничества, резюмировал Леонид Безвершенко.

Читайте также
Прямой эфир