Угнать за 60 секунд (и сидеть там полгода). Кибершпионы устроили «день открытых дверей» в авиации

За последние два года в отрасли обороны и аэрокосмических технологий фиксируется рост скрытных проникновений, в которых применяются продуманные схемы обхода защитных систем и использование инфраструктуры подрядчиков. На фоне этих событий команда Mandiant разобрала новую волну операций группы UNC1549, действующей с опорой на инструменты, созданные специально под каждую цель, и набор методов, рассчитанных на длительное присутствие в сети.

По наблюдениям аналитиков, атакующая сторона начала кампанию в середине 2024 года, ориентируясь на организации в авиационной и оборонной сферах. Первые шаги строились на двойной тактике: фишинговые письма подбирались под должности адресатов и использовались для кражи данных для входа или загрузки вредоносных файлов, параллельно злоумышленники заходили через доверенные связи с подрядчиками. Такой подход позволял обойти внешние барьеры и закрепиться в сети через менее защищённых партнёров.

После проникновения UNC1549 переходила к перемещению по внутренним сегментам, применяя нестандартные способы. Группа подделывала домены для целевых рассылок, использовала обращения к внутренним системам заявок для получения дополнительных учётных данных и запускала набор инструментов, включая модифицированный компонент DCSYNCER.SLICK.

Через него выполнялись запросы, имитирующие репликацию контроллеров домена и позволявшие извлекать NTLM-хеши. Для тихого присутствия устанавливались бэкдоры, которые не подавали признаков активности месяцами, а также применялись обратные SSH-туннели, оставлявшие минимум следов на скомпрометированных системах.

Значительная часть операций была построена на злоупотреблении установленными в компаниях программными компонентами. UNC1549 активно использовала механизмы подмены порядка поиска библиотек, внедряя CRASHPAD, GHOSTLINE, LIGHTRAIL, MINIBIKE, POLLBLEND, SIGHTGRAB и другие утилиты в каталоги Citrix, VMWare, NVIDIA, Microsoft и Fortigate. При необходимости злоумышленники устанавливали эти продукты самостоятельно, чтобы затем подменять системные библиотеки. Инструменты группы отличались высокой вариативностью — во многих сетях находили разные экземпляры одного и того же семейства с уникальными хэшами.

Отдельное внимание Mandiant уделила нескольким вредоносным компонентам. TWOSTROKE устанавливал зашифрованный канал управления и умел выполнять команды, включая загрузку файлов, запуск процессов, получение информации о системе и взаимодействие с каталогами.

LIGHTRAIL представлял собой модифицированный инструмент сетевого туннелирования, работающий поверх облачной инфраструктуры и использующий WebSocket-подключения. DEEPROOT, созданный для Linux, позволял выполнять команды оболочки, работать с файлами и собирать информацию о хосте. SIGHTGRAB делал снимки экрана, сохраняя их в последовательные каталоги, а TRUSTTRAP выводил поддельные окна входа, собирая учётные данные.

В ходе развития атаки UNC1549 активно поднимала уровень доступа. Группа сбрасывала пароли контроллеров домена, создавала поддельные учётные записи машин, использовала схемы делегирования привилегий, проводила Kerberoasting и запрашивала сертификаты через уязвимые шаблоны служб Active Directory Certificate Services. Также фиксировались случаи перехвата RDP-сессий после определения активных пользователей командой quser.exe.

Для разведки и перемещения по сети злоумышленники пользовались легальными утилитами, чтобы скрыть деятельность под административную активность. Применялись AD Explorer, PowerShell-скрипты, команды Windows, а также сторонние средства удалённого доступа — AWRC и модифицированные инструменты SCCM, позволяющие подключаться к системам без уведомлений пользователя.

Mandiant отмечает, что главная цель кампании — сбор конфиденциальных материалов. UNC1549 искала техническую документацию, переписку, внутренние проекты и данные, необходимые для дальнейших атак на другие компании отрасли. Злоумышленники удаляли следы, стирали свои утилиты и очищали ключевые разделы систем, затрудняя восстановление картины произошедшего. По оценке специалистов, за последний год группа повысила скрытность, усилив контроль над каждым шагом внутри инфраструктур жертв.