«Здравствуйте, я хакер из КНДР, примите меня на работу»: истории SentinelOne об атаках невиданной наглости

Компания SentinelOne, специализирующаяся на кибербезопасности, опубликовала отчёт о попытках злоумышленников получить доступ к её системам. Успешный взлом подобной организации открыл бы хакерам путь к тысячам защищённых инфраструктур по всему миру.

Мы не просто изучаем атаки — мы сталкиваемся с ними лицом к лицу. Наши специалисты противостоят тем же угрозам , к отражению которых готовят других. Именно этот опыт формирует наше мышление и подход к работе, — отмечается в документе.

Хотя среди поставщиков решений для информационной безопасности обсуждение направленных против них кибератак считается табу, постоянное давление на защитные системы помогает совершенствовать механизмы защиты.

За последние месяцы эксперты компании отразили широкий спектр нападений: от действий криминальных группировок, нацеленных на финансовую выгоду, до сложных операций, спланированных спецслужбами различных государств.

Самую масштабную и изощрённую кампанию организовали северокорейские специалисты. Исследователи обнаружили целую сеть айтишников из КНДР, действующих под прикрытием. Злоумышленники создали около 360 тщательно проработанных виртуальных личностей, каждая из которых обладала убедительной профессиональной историей, портфолио и рекомендациями. От имени несуществующих специалистов было направлено свыше тысячи заявок на различные технические позиции в компании. В одном из случаев агенты даже попытались трудоустроиться в отдел компьютерной разведки — то самое подразделение, которое в тот момент занималось выявлением и анализом их деятельности.

Другую серьёзную опасность представляют хакеры, действующие в интересах китайского правительства. Группировка ShadowPad атаковала цепочку поставок, скомпрометировав логистического партнёра, отвечающего за управление аппаратным обеспечением. С июля 2024 по март 2025 года киберпреступники, используя замаскированное вредоносное программное обеспечение ScatterBrain, проникли в системы более 70 организаций по всему миру. Среди пострадавших оказались промышленные предприятия, государственные учреждения, финансовые институты, телекоммуникационные компании и исследовательские центры.

Третья значимая угроза - как всегда программы-вымогатели. Участники банды Nitrogen используют интересную уловку: находят компании-реселлеры с упрощённой процедурой проверки клиентов и, используя методы социальной инженерии, приобретают у них официальные лицензии. Конечная цель — проникновение в платформы информационной безопасности, включая систему EDR от SentinelOne. Получив доступ, они планомерно изучают механизмы защиты, ищут способы их отключения и разрабатывают методы обхода систем обнаружения вторжений.

Параллельно с Nitrogen активизировалась хакерская группа Black Basta, избравшая другую тактику. Её члены методично исследуют эффективность своих вредоносных инструментов против ведущих защитных решений. В поле зрения злоумышленников попали системы нескольких крупнейших разработчиков: CrowdStrike, Carbon Black, Palo Alto Networks и SentinelOne. Они тщательно документируют результаты каждой пробной атаки, совершенствуя свои методы проникновения.

На хакерских форумах регулярно появляются объявления о продаже временного или постоянного доступа к консолям управления системами безопасности.

Можно сказать, серия последних нападений заставила команду SentinelOne пересмотреть оборонную стратегию. Инженеры внедрили дополнительные механизмы безопасности и создали более совершенные механизмы наблюдения за всей инфраструктурой. Особое внимание теперь уделяется не только укреплению собственных ресурсов, но и тщательной проверке всех организаций-партнёров, имеющих доступ к критически важным данным.