Без шума и пыли: как хакеры Rare Wolf вели шпионаж против промышленных гигантов РФ

В 2023 году была выявлена серия кибератак, осуществленных хакерской группировкой Rare Wolf, нацеленной на организации и промышленные предприятия России и ближнего зарубежья. Среди целей были, в частности, предприятия тяжелого машиностроения, а охотиться хакеры могли за информацией о новых исследованиях и разработках компаний, в том числе, за так называемыми «документами для служебного пользования». По данным компании Bi.Zone , с начала года было зафиксировано как минимум 97 атак, а общее количество атак с 2019 года превысило 400.

Особенностью деятельности Rare Wolf является методичность и скрытность. Хакеры не наносят немедленный ущерб атакуемым системам, а стремятся к длительному проникновению для сбора информации. Это достигается за счет использования легального программного обеспечения, что значительно затрудняет обнаружение их действий службами безопасности.

Основным методом атаки группировки является рассылка фишинговых писем, замаскированных под обычные уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr. При открытии такого файла на компьютере жертвы активируется вредоносная программа, которая собирает пароли из браузеров, копирует все файлы Microsoft Word в архив и отправляет их злоумышленникам. Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

Особое внимание хакеры уделяют доступу к Telegram-аккаунтам сотрудников, через которые часто передаются служебные документы и другая информация, интересные с точки зрения промышленного шпионажа. На компьютерах жертв хакеры искали, в частности, зашифрованный ключ, который идентифицирует сессию в Telegram. Это позволяло им зайти в скомпрометированную учетную запись без авторизации и незаметно для собственника аккаунта контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

Эксперты полагают, что хакеры-шпионы продают украденные данные на теневых форумах. Ущерб от подобных атак может быть очень высок, если полученными данными воспользуются другие злоумышленники. По мнению специалистов, члены группировки Rare Wolf — выходцы из стран СНГ, так как они хорошо осведомлены об отечественном ПО. Кроме того, они арендовали вычислительные мощности, находящиеся на территории России, чтобы не вызывать подозрений и не блокироваться провайдерами.