Хактивисты и APT-группировки ломают Россию

С февраля 2022 г. Positive Technologies следит за деятельностью 35 активных хактивистких и 26 APT-группировок. Первые стремятся заявить о себе и достижениях, вторые - ведут себя скрытно. Разница в подходах обусловлена разными целями. Главный мотив хактивистов - несогласие с геополитикой, а главный мотив APT-группировок - шпионаж.

Об этом рассказал руководитель TI-департамента экспертного центра безопасности АО "Позитив Текнолоджиз" (Positive Technologies) Денис Кувшинов на пресс-конференции "Как изменились атаки на российские компании за два года". По его словам, после февраля 2022 г. ландшафт киберугроз в РФ кардинально изменился. Российские компании столкнулись с повышенной активностью хактивистов и APT хакерами.

"Хактивисты - это группы хакеров, не согласные с какими-то геополитическими событиями, - сказал Денис Кувшинов. - До февраля 2022 г. они редко попадали в поле нашего зрения, однако после февраля 2022 г. они активизировались и начали атаки на российские компании. Обычно они проводят базовые атаки, такие как DDoS и Deface сайтов, выкладывают конфиденциальные документы и так далее. Хактивисты, атакующие Россию - замотивированные группы, которые выкладывают конфиденциальные данные взломанных компаний. Чаще всего они не требуют выкупа. До 2023 г. они выкладывали эти данные безвозмездно на закрытых ресурсах и в Telegram-каналах. С тех пор они стали разумнее подходить к атакам, обрабатывать украденные данные или передавать их кому-то еще, а после использовать их для дальнейших атак".

По его словам, эксперты Positive Technologies следят за 35 активными хактивисткими группами и за 26 APT-группировками (Advanced Persistent Threat), которые атакуют российские компании с конца зимы 2022 г. Последние традиционно занимаются шпионажем, кражей конфиденциальных данных.

"Хактивисты очень похожи на APT-группировки в методах. И те и другие используют сложные тактики при атаках и отличить одних от других бывает сложно. Очень часто бывает такое, что хактивисты превосходят в навыках APT-группировки. Однако между ними есть ключевое отличие. Хактивисты сообщают об "успехах" в отличии от APT-группировок", - отметил Денис Кувшинов.

Он обратил внимание, что инструментарий группировок изменился за минувшие два года. Злоумышленники прибегают не только к собственным разработкам, но и публично доступному ПО. Хакеры иногда используют инструменты для управления компьютером, такие как Teamdesk или Teamviewer. Таким образом хакеры пытаются спрятаться от специалистов по информационной безопасности, выдавая вредоносное программное обеспечение за рабочее ПО. Помимо этого, хакеры использует инструменты туннелирования трафика.

"Чаще всего хакеры заражают систему с помощью фишингового письма с вложением вредоносного ПО, с помощью которого злоумышленники получают доступ к компьютеру жертвы и возможность следить за ее действиями. Другой тренд заключается в том, что хакеры используют легитимные сервисы, такие как Telegram, Discord, Яндекс Диск, на которых они располагают либо команду для вредоносного ПО, либо ВПО. Хакеры продолжают совершенствовать инструменты, которыми они пользуется. Одна из групп, за которой мы следим, разработала новое решения для взлома на языке Go, предназначенного для кросс-платформенной разработки, и теперь, в зависимости от операционной системы, они могут скомпилировать необходимый им инструмент и для Linux, и для Windows", - сказал Денис Кувшинов.

Отвечая на вопросы корреспондента ComNews, он отметил, что судя по языку, которые хакеры используют в чатах и каналах, можно утверждать, что они либо выходцы из стран Восточной Европы, либо являются людьми, владеющими языками восточноевропейских стран. Однако прямых доказательств, указывающих на их гражданство нет.

"До февраля 2022 г. мы отслеживали 18 активных хакерских группировок, среди которых практически не было хактивистов. Сейчас мы с уверенностью можем сказать, что самыми популярными целями злоумышленников становятся компании, занятые в производстве и промышленности, госучреждения и ИТ-компании", - заметил Денис Кувшинов.

С ним согласился инженер группы расследований инцидентов Solar 4RAYS, группы компаний "Солар" Геннадий Сазонов. Он отметил, что самыми популярными целями у злоумышленников в 2024 г. стали компании, занятые в госсекторе, промышленности, телеком и ИТ.

"Количество хактивистких атак с февраля 2022 г. выросло многократно, - рассказал он. - Опираясь на статистику расследований центра Solar 4RAYS, основной всплеск атак хактивистов фиксировался в 2022-2023 гг. Но в 2024 г. процент хактивистских атак снизился, предположительно, на фоне роста уровня атакующих и их переориентации на более серьезные цели, например, шпионаж".

По его словам, спутать хактивистов и APT-группировки сложно, потому что у них полностью противоположные цели и способы их достижения. Геннадий Сазонов обратил внимание, что хактивисты обычно, прибегают к инструментам, доступным широкой публике и действуют "шумно", в то время как APT-группировки наоборот стараются действовать скрытно и используют самописное ПО, так как их главная цель - шпионаж.

С ним согласен руководитель отдела расширенного исследования угроз АО "Лаборатория Касперского" Никита Назаров, он говорит, что хактивисты предпочитают полагаться на доступные в сети инструменты и Living on the Land - то есть полагаться на легитимное ПО в операционной системе. Он отметил, что в 2024 г. количество хактивистких атак на Россию и Республику Беларусь остается высоким, однако сменился их "стиль". Если в 2022 г. злоумышленники предпочитали DDoSить жертв, то теперь возросло количество целевых атак.

"Бывают и уникальные случаи. Например, отслеживаемая нами группировка Shedding Zmiy активно разрабатывает собственное ВПО и применяет техники, позволяющие максимально повысить скрытность. Однако на завершающих стадиях атаки, когда данные добыты или атака пошла не по плану, оказывают деструктивное воздействие на инфраструктуру. Они освещают действия публично в Telegram-каналах", - сказал Геннадий Сазонов.

Об использовании злоумышленниками легитимного, с точки зрения средств защиты информации, программного обеспечения рассказал руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, АО "Инфосистемы Джет" Руслан Амиров. По его словам, эксперты компании сталкивались со злоумышленниками, которые использовали ПО AnyDesk во время расследований инцидентов в 2024 г. Он отметил, что в конце 2024 г. возросла активность ПО с открытым исходным кодом DiskCryptor.

"Вообще, злоумышленники все чаще стали использовать в атаках абсолютно легитимные инструменты с точки зрения систем защиты информации для снижения вероятности обнаружения их активности. Так, используемая связка DiskCryptor, MeshAgent, PsExec не будет вызывать подозрений у установленного антивируса, разве что возможно обнаружение с формулировкой вроде *not-a-virus*. Кроме того, такая атака может быть реализована с использованием других легитимных инструментов: например, шифровальщик ShrinkLocker использует встроенный в Windows Bitlocker", - рассказал Руслан Амиров.

Менеджер по развитию ООО "Юзергейт" (UserGate) Александр Луганский отметил, что инструментарий хакеров, осуществляющих целенаправленные атаки, не изменился: они стараются использовать ПО, которое сложно обнаружить и максимально похожее на легитимное как по названию, так и по функционалу. По его словам, это позволяет им добиваться целей и получать доступ к информации и управлению устройствами.

"Целью деятельности хактивистов, как правило, является получение общественного резонанса. Это могут быть атаки на информационные ресурсы СМИ, государственных органов, работающих с населением, ИТ-системы торговых сетей. Подобные атаки редко наносят серьезный урон инфраструктуре, и ее работоспособность достаточно быстро восстанавливается. Организаторы же АРТ-атак чаще играют "в долгую". Их цель – как можно дольше оставаться незаметными в сети, постоянно расширяя возможности по доступу к необходимой информации и скрытому влиянию на внутренние процессы организации", - заключил он.