Новая группировка хакеров под названием ChamelGang была выявлена специалистами по информационной безопасности. Она совершает атаки на различные учреждения в 10 государствах, среди которых и Россия. Хакеров, начиная с марта текущего года, начали интересовать российский авиапром и ТЭК. По меньшей мере две кибератаки были удачными. Преступникам интересна информация из взломанных сетей. Эксперты считают, что за всем этим вполне могут быть организации проправительственного характера.

Соответствующее сообщение поступило от специалистов Positive Technologies. Компания проводила расследование ситуации в авиапроме и ТЭК. Согласно полученным данным, атаки впервые были зафиксированы в марте. Киберпреступники воруют информацию из скомпрометированных сетевых источников.

Эксперты компании рассказали, что пострадали организации в десяти государствах, в том числе Германия, Америка, Тайвань и Индия. В 4-х из этих стран были выявлены правительственные ресурсы, уже скомпрометированные.

Было указано, что жертвам пришли оповещения по линии CERT. Эксперты из «Лаборатории Касперского» рассказали, что некоторые элементы кибератаки данной хакерской группировки находятся под наблюдением по меньшей мере с мая текущего года.

В связи с тем, что киберпреступники маскируют вирусные программы и инфраструктуру сети под официальные сервисы, сама группировка называется ChamelGang от производного chameleon. Например, проводится регистрация мошеннических доменов, которые являются имитацией сервисов доставки материалов, поддержки и обновлений Гугл, Microsoft и прочих компаний. Инструментами хакеров выступает и до этого неописанное программное обеспечение, в частности BeaconLoader. Это возмжность, позволяющая киберпреступникам войти в систему.

По данным специалистов Positive Technologies в структурах авиапрома и ТЭКа тоже были взломаны серверы.

Хакеры в одной из таких кибератак изначально совершили нападение на дочернюю компанию, а 2 недели спустя – на головную. Им удалось на одном из имеющихся серверов получить пароль локального админа и по протоколу RDP вошли в ее сеть. Киберпреступники находились в этой сети три месяца, и никто их не выявил. В итоге под их контролем оказалась ее подавляющая сеть, в том числе и особо важные узлы с серверами.

В Positive Technologies указали, что в случае со 2-й атакой хакеры использовали связанные между собой уязвимости, присутствующие в Microsoft Exchange. Информация об этой цепочке появилась в конце лета, в августе. В инфраструктуре компании злоумышленники находились 8 дней. За этот период особого ущерба они причинить не смогли.

А. Шульмин, специалист по информационной безопасности «Лаборатории Касперского» подтвердил, что атака имела таргетированное направление и обширную географию пострадавших, в частности попытки кибератак единичного характера в РФ. Также, он отметил, что интерфейс ряда хакерских утилит на китайском.

Кто пострадал от действий хакеров, эксперты не уточняют, а компании дают комментарии по поводу возможных уязвимостей без энтузиазма.

В «Т Плюс»» говорят, что с деятельностью этой конкретной хакерской группы они не знакомы. В центре кибербезопасности, чтобы обнаружить активность злоумышленников, осуществляют мониторинг в круглосуточном режиме.  

Д. Кувшинов из Positive Technologies рассказал, что предприятия промышленного типа не всегда могут выявить кибератаку и в течение многих лет остаются в полной уверенности, что находятся в безопасности. На практике преступник в более девяноста процентов случаев способен войти в сеть предприятия и захватить абсолютный контроль. Именно такие организации входят в число самых атакуемых. В 2020 г. в 84 процентах случаев хакеры пытались украсть сведения.

И. Залевский из Solar JSOC CERT говорит, что зачастую кибератаки на важные объекты промышленного типа совершаются группировками проправительственного характера и хакерами-наемниками.