Хакерская группировка Calypso с азиатскими корнями в этом году атаковала российские госучреждения, выяснила компания Positive Technologies. По ее данным, следы вредоносного программного обеспечения обнаружены как минимум в двух организациях из РФ. Основная часть атак пришлась на Индию, Бразилию и Казахстан, при этом мог быть скомпрометирован весь объем данных пострадавших структур, в том числе конфиденциальная информация.
Фото: Олег Харсеев, Коммерсантъ / купить фото
Государственные учреждения из Бразилии, Индии, Казахстана, России, Таиланда, Турции стали жертвами группировки Calypso, основной целью которой является кража конфиденциальных данных, говорится в отчете Positive Technologies (есть у “Ъ”). Calypso активна как минимум с сентября 2016 года, российские органы исполнительной власти подверглись ее атакам в этом году, рассказали “Ъ” в Positive Technologies.
«К сегодняшнему дню мы видели не менее двух организаций, в которых имеются следы вредоносного ПО, используемого группировкой»,— уточнили в Positive Technologies.
Всего на Россию пришлось 12% от общего числа выявленных атак Calypso, на госорганы Индии — 34%, Бразилии, Казахстана — по 18%, Таиланда — 12%, Турции — 6%.
Как выяснили в Positive Technologies, злоумышленники взламывали сетевой периметр организаций и размещали на нем специальную программу, через которую получали доступ к внутренним сетям. Внутри сети хакеры продвигались либо с помощью эксплуатации уязвимости в системе безопасности Windows MS17-010, либо с помощью украденных учетных данных, говорится в отчете.
На китайское происхождение Calypso указывает использование программы PlugX, которую традиционно применяют многие группы из Китая, а также трояна Byeby. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали реальные IP-адреса у китайских провайдеров. «Злоумышленники получали максимально возможные привилегии в инфраструктуре компании, а это означает, что мог быть скомпрометирован весь объем данных»,— полагает ведущий специалист группы исследования киберугроз Positive Technologies Денис Кувшинов. Оценить ущерб в финансовом эквиваленте в компании не берутся.
С Calypso сталкивались и в «Лаборатории Касперского». «Мы назвали ее FlyingDutchman по одной из строк в коде бэкдора. Телеметрия подтверждает, что госучреждения находятся в сфере интересов группы. Также регистрировали заражения финансовых организаций»,— говорит старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Технику, описанную Positive Technologies, «многократно наблюдали в различных отраслях», утверждает руководитель отдела расследования инцидентов Solar JSOC компании «Ростелеком» Игорь Залевский.
«Общий подход крайне популярен, и неудивительно, что еще одна группировка использует те же техники»,— отмечает он.
Российские организации периодически становятся целями проправительственных хакерских групп разных стран мира, в том числе и Китая, отмечает руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова. В качестве примера она привела группу NetTraveler, которая нацелена в том числе на страны СНГ, включая Россию. «Группа использует бэкдоры собственной разработки или инструменты в публичном доступе, которые хакеры распространяют через целевой фишинг с вредоносным вложением»,— рассказывает эксперт.
Основная цель, преследуемая хакерами, не финансовая, как у киберкриминальных групп, а шпионаж, утверждает госпожа Тихонова. Поэтому в список их жертв зачастую попадают объекты, связанные с нефтяной промышленностью, энергетикой, а также научно-исследовательские центры и институты, правительственные учреждения, различные военные подрядчики, поясняет госпожа Тихонова.
Деятельность группировки Calypso подтверждает тот факт, что вектор атак злоумышленников смещается с целей получения финансовых средств на получение данных, отмечают в Positive Technologies. На такие атаки приходится 58% от общего числа инцидентов по итогам второго квартала 2019 года, в то время как по итогам прошлого года этот показатель составлял 42%, указывают в компании. Из-за кибератак российская экономика может потерять в 2019 году 1,6–1,8 трлн руб., а мировая — до $2,5 трлн, оценивал в июне Сбербанк.
Организации могут их предотвратить системами глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии и не дадут им закрепиться в инфраструктуре компании, уверены в Positive Technologies. Кроме того, добавляют в компании, обнаружить атаки и противодействовать им помогут мониторинг событий информационной безопасности, защита периметра и веб-приложений.