Полгода в гостях у военных. Хакеры Sednit ставят рекорды по скрытности
Старые приёмы сработали лучше новых хитростей.
Группа Sednit, известная по ряду громких кибершпионских операций прошлых лет, снова активно применяет сложные инструменты для слежки. Анализ новой кампании показал, что команда разработчиков вредоносных программ вернулась к созданию продвинутых инструментов и использует обновлённый набор средств для длительного наблюдения за иностранными военными структурами.
Специалисты компании ESET зафиксировали повторную активность Sednit с апреля 2024 года. В одной из атак на ближневосточные государственные системы обнаружили шпионский модуль SlimAgent. Программа регистрирует нажатия клавиш, делает снимки экрана и собирает данные из буфера обмена. Анализ кода показал прямую связь с инструментом Xagent — ключевым бэкдором Sednit, активно применявшимся в 2010-е годы.
Телеметрия ESET выявила похожие образцы вредоносного кода, использовавшиеся ещё в 2018 году против государственных структур в двух европейских странах. SlimAgent сохранил почти идентичную логику сбора данных и структуру работы, хотя получил новые функции, включая шифрование журналов. По мнению аналитиков, все версии созданны на основе одной кодовой базы, происходящей от модуля регистрации клавиатурного ввода Xagent.
В той же атаке 2024 года специалисты обнаружили ещё один инструмент — BeardShell. Программа выполняет команды PowerShell и использует облачное хранилище Icedrive как канал управления. Разработчики внедрили механизм, который имитирует запросы официального клиента сервиса. При изменении внутреннего интерфейса Icedrive обновления вредоносной программы появлялись в течение нескольких часов, что указывает на активную работу команды разработчиков.
В коде BeardShell обнаружили редкую технику маскировки вычислений, ранее встречавшуюся в инструменте Xtunnel — сетевом модуле Sednit середины 2010-х годов. Совпадение алгоритма и структуры кода стало дополнительным подтверждением связи нового инструмента с тем же разработческим коллективом.
С 2025 года Sednit почти всегда использует BeardShell вместе с ещё одним компонентом — модифицированной версией открытого фреймворка Covenant. Первоначально Covenant служил инструментом постэксплуатации, однако разработчики Sednit серьёзно переработали платформу для долгосрочных шпионских операций. Например, механизм идентификации заражённых машин изменили так, чтобы один и тот же компьютер сохранял постоянный идентификатор после перезагрузок.
Разработчики также добавили новые сетевые протоколы, позволяющие управлять заражёнными системами через облачные сервисы. Сначала применялся pCloud, затем Koofr, а с середины 2025 года — Filen. Такая инфраструктура позволяет сохранять контроль над системами даже при блокировке части серверов управления.
Аналитики отмечают, что Sednit применяет сразу два вредоносных компонента одновременно. Подобная схема помогает быстро восстановить доступ к системе, если один канал управления становится недоступным. Наблюдение за некоторыми заражёнными компьютерами продолжалось более шести месяцев.
Sednit действует как минимум с 2004 года и известна также под названиями APT28, Fancy Bear, Forest Blizzard и Sofacy. Среди прошлых операций — атака на Национальный комитет Демократической партии США перед выборами 2016 года, взлом французского телеканала TV5Monde и компрометация электронной почты Всемирного антидопингового агентства.
Новый отчёт показывает, что команда разработчиков Sednit снова активно создаёт сложные инструменты кибершпионажа. Использование старых элементов кода вместе с новыми механизмами подтверждает преемственность внутри группы и указывает на сохранение технического потенциала для длительных разведывательных операций.