В преддверии SOC Forum 2024 давайте вспомним другое значимое событие — Positive Hack Day 2. Ранее уже выходило на Хабре интервью о первых шагах в обнаружении атаки, тоже посвящённое выступлению с этого мероприятия. На этот раз хочу представить интервью с инженером группы расследования инцидентов Solar 4RAYS Геннадием Сазоновым и экспертом группы анализа ВПО Solar 4RAYS Антоном Каргиным. Мне было интересно узнать из первых рук об одной из обнаруженных группировок. На PHD 2 Антон и Геннадий выступали с докладом, посвящённым группировке Shedding Zmiy, так что для полноты картины его стоит посмотреть. Приятного чтения!

Как вы впервые нашли следы этой группировки?

Антон: Когда мы начали расследование инцидентов, у нас не было четкого понимания ситуации. Мы находили различные индикаторы, и первым из них стал вредонос CobIint, ассоциирующийся с группировкой Cobalt, которая известна как минимум с 2016 года. Мы выделили Shedding Zmey как отдельный кластер, не связывая его напрямую с Cobalt или ex(Cobalt).

Геннадий: В процессе исследования мы обнаружили уникальные вредоносные программы и техники, характерные только для этой группировки. Двигаясь от кейса к кейсу и собирая новые артефакты — IP‑адреса, сетевую инфраструктуру, используемые техники и особенности, — мы смогли объединить всю информацию в одну историю, которую назвали Shedding Zmiy.

Это был какой‑то рядовой случай у кого‑то из ваших заказчиков, правильно?

Геннадий: Да, первый случай оказался достаточно обычным, но он привлек внимание общественности, так как злоумышленники опубликовали данные, украденные у жертвы. Именно поэтому нас пригласили на расследование. Это было наше первое столкновение с этой группировкой, и мы ещё не знали всех деталей о ней.

А потом у вас было несколько инцидентов, верно?

Геннадий: Однозначно. У нас было несколько инцидентов, которые в итоге мы связали в одну цепочку. Первый произошел в декабре 2022 года, а последний, о котором мы рассказывали, был в феврале 2024 года. Таким образом, мы следили за этой группировкой в течение полутора лет. Кроме того, данные, обнаруженные Антоном, указывают на кастомный загрузчик и вредонос, использовавшиеся в фишинговых письмах и уходящие корнями в март 2022 года. Мы видим следы активности группировки более чем за два года.

А коллеги из других компаний вам помогали в поисках этой группировки?

Геннадий: Мы не обменивались данными с коллегами из других компаний, но внимательно следили за их отчетами и исследованиями. Мы изучали, как они описывают схожие группировки, упомянутые на одном из наших слайдов, и фиксировали связи с нашей группировкой. Читая их материалы, мы обязательно учитывали общие моменты в своей работе.

Получается, у коллег из других ИБ‑компаний не было смежных следов этой группировки?

Геннадий: Все коллеги относили наблюдаемые инциденты к своим старым группировкам. Некоторые связывали следы с ex-(Cobalt), другие указывали на такие группировки, как Shadow\Comet, Twelve. Важно отметить, что каждый интерпретировал ситуацию по‑своему. Некоторые наши коллеги фиксировали больше случаев шифрования и деструктивного воздействия, в то время как мы заметили изменение мотивации в сторону кибершпионажа.

Правильно я понимаю, что это больше хактивисты, а не группировка, заточенная на кибершпионаж и финансовое обогащение?

Антон: Мы не стали бы называть их хактивистами. Важно отметить, что по инструментам, которые мы анализировали, было обнаружено несколько уникальных образцов, о которых не писали наши коллеги. Уровень их активности достаточно высок. Некоторые экземпляры вредоносного ПО эксплуатировали уязвимость десятилетней давности, были впервые замечены в атаках на Россию и были заточены на максимальную скрытность. Это нас удивило. Вряд ли обычные хактивисты демонстрировали бы такой высокий уровень подготовки.

Получается, Shedding Zmiy занимается кибершпионажем, но неизвестно с какой целью?

Геннадий: Вопросы атрибуции всегда сложны, и мы подходим к ним с осторожностью. Мы изложили свое видение, и один из зрителей подошел к нам, шепотом спросив о конкретной стране. Он был достаточно близок к истине. Хотя мы не будем озвучивать название страны, думаю, тем, кто разбирается в теме, станет понятно, о чем идет речь.

Антон: Мы знаем о некоторых атаках на подрядчиков, работающих с крупными государственными компаниями. Вероятно, целью таких атак могло быть проникновение в инфраструктуры государственных учреждений для получения конфиденциальной информации. Однако в нашей практике таких случаев зафиксировано не было.

В Даркнете вы пытались проследить эту группировку?

Геннадий: Мониторинг даркнет‑каналов не совсем наша область. Этим занимается наше отдельное подразделение Solar AURA, специализирующееся на отслеживании подобных угроз. Пока от них не поступало конкретной информации, но мы постоянно обмениваемся данными. Мы отмечали, что группировка Shedding Zmiy часто приобретает специализированное программное обеспечение на подпольных форумах и использует его в своих атаках, особенно на начальных стадиях.

Антон: Прямых контактов с ними у нас не было. Единственное упоминание, связанное с угрозами в наш адрес, было удалено вскоре после публикации. Активных действий против нас не предпринималось, и их цели, вероятно, лежат в другой плоскости.

Мы еще не раз услышим об этом кластере? Каков ваш прогноз? Они продолжат действовать или уйдут в тень после вашего отчёта?

Геннадий: С высокой долей вероятности они не изменят своей мотивации и стремления. Группировка атакует множество организаций, и семь случаев, которые мы описали, — это лишь те инциденты, в которых мы участвовали. Вероятно, пострадавших компаний гораздо больше: кто‑то не знает о взломе, а кто‑то предпочитает не сообщать об этом.

Антон: Мы также наблюдаем значительное развитие их инструментов. Они постепенно совершенствуют свои техники. Например, сначала мы видели загрузчики, написанные на одном языке, а затем появился более сложный загрузчик XDHijack. Это можно рассматривать как переход от NIM к XDHijack. Их сложный фреймворк Bad State также развивается — мы видели несколько его версий, что свидетельствует о его активной разработке. Исходя из этого, можно сделать вывод, что у них долгоиграющие планы.

Геннадий: Что касается названия, они сами себя так не называют. У нас есть определённые правила обозначения группировок. В блоге 4RAYS вышел пост, где мы подробно разбераем, как формируются имена для кибергруппировок. Мы объясняем, почему выбираются определённые названия и показываем наш подход к классификации угроз и его соответствие международной практике.

Антон: Кибергруппировки редко сами себе дают имена. Группировки Shadow и Twelve, например, открыто заявляли о своих атаках в записках о выкупе и в своих Telegram‑каналах. Но чаще их названия придумывают специалисты по кибербезопасности. В результате одни и те же группировки могут иметь разные названия у разных компаний. Возможно, у них есть собственные внутренние имена, но они не разглашают их для усложнения идентификации.

Геннадий: Мы отметили, что группировка Shedding Zmiy связана с другими киберпреступными структурами. Некоторые из них даже используют собственные публичные каналы, например, группировка BlackJack с одноимённым Telegram‑каналом.

А с какой долей вероятности эта группировка прогосударственная?

Геннадий: Вероятность этого весьма низкая. Отдельные публично активные члены группировки сообщали о передаче некоторой выгруженной из сетей жертв информации для нужд государственных служб и ведомств конкретной страны, но полностью спонсируемые государством группировки держатся в тени и никак не комментируют свои активности публично.

Некоторые группы, как показывает практика, могут быть самофинансируемыми, что объясняет их публичные сборы на оборудование и технические средства — такая открытость зачастую является отличием от деятельности спонсируемых государством групп, которые обычно обладают стабильным финансированием и ресурсами. Также мотивированная команда может формироваться вокруг идеологических целей, которые часто сравнимы с государственной повесткой, но не обязательно совпадают.

Вот таким получился наш разговор. Думаю, у меня будут и другие материалы на тему обнаружения хакерских группировок и выявления хакерских атак. Кстати, у меня есть материал про первые шаги в поиске хакерского присутствия на предприятии. Так что вкупе с материалом про Shedding Zmiy получается интересная картина. Спасибо за прочтение!

Комментарии (0)