GoblinRAT: Незаметный шпион в российских государственных системах на протяжении трех лет

Кибератака

Специалисты по кибербезопасности из Solar 4RAYS обнаружили сложную и незаметную угрозу — вредоносное программное обеспечение GoblinRAT. Это программное обеспечение имеет продвинутые методы маскировки, что позволило ему оставаться незамеченным в сетях российских государственных учреждений и IT-компаний три года, начиная с 2020 года. Это одна из наиболее технически сложных атак, с которыми специалисты сталкивались в последнее время.

Первый зафиксированный случай выявления GoblinRAT имел место в 2023 году в одной из IT-компаний, обслуживающих государственные учреждения. Это произошло после того, как штатные специалисты по информационной безопасности заметили странные удаления логов на серверах и загрузку программ для кражи паролей. В конце концов, при детальном анализе был обнаружен зловредный код, который искусно маскировался под легитимное приложение. Разница в имени файлов была минимальной и обнаруживалась только при ручной проверке больших объемов данных.

Особенностью GoblinRAT является отсутствие функции автоматического закрепления, что указывает на тщательно спланированные атаки. Злоумышленники внимательно изучали инфраструктуру своих целей и внедряли зловред только после этого, адаптируя его под легитимные процессы на системах жертв, что подтверждает направленный характер атак.

Специалисты Solar утверждают, что злоумышленники получали потенциально полный контроль над системами жертв, позволяя им манипулировать данными — все это было возможно благодаря использованию легитимных, но взломанных сайтов для управления зловредом.

Атака охватила четыре организации, при этом в одной из них зловред оставался активным на протяжении трех лет, а наиболее короткий инцидент продолжался около шести месяцев. Хотя точные данные о пострадавших ведомствах не раскрываются, известно, что речь идет о государственных учреждениях и их подрядчиках.

Интересен тот факт, что аналоги GoblinRAT не были обнаружены в сетях глобальных сенсоров других компаний, что усложняет атрибуцию атаки. На данный момент не удалось выявить артефактов, указывающих на конкретную группу, что подтверждает высокий уровень профессионализма и мотивацию создателей GoblinRAT.

На фоне этого инцидента стоит отметить важность регулярных проверок безопасности, повышения осведомленности сотрудников и использования современных решений для защиты от сложных угроз. В современном мире уделять внимание кибербезопасности становится не просто рекомендацией, а необходимостью для обеспечения благополучия и стабильности цифровых инфраструктур.