Кто украл секреты соседей? Опубликован отчёт о масштабной шпионской кампании в СНГ

Группа Hydra Saiga продолжает масштабные операции кибершпионажа против государственных структур и объектов критической инфраструктуры. Новый отчёт VMRay показывает, что кампания действует не менее пяти лет и активно атакует организации в Европе, Центральной Азии и на Ближнем Востоке, уделяя особое внимание энергетике и водным ресурсам.

Hydra Saiga, известная также под названиями Yorotrooper и ShadowSilk, действует как минимум с 2021 года. Основной особенностью кампании стала необычная система управления вредоносным кодом. Операторы используют Telegram Bot API для передачи команд заражённым системам. Такой подход позволяет быстро разворачивать инфраструктуру управления и усложняет обнаружение атак.

Заражение происходит несколькими способами. В одном из эпизодов злоумышленники распространяли файл под видом письма постоянного представителя Туркменистана в ООН. Исполняемый файл запускал скрытый скрипт PowerShell, который связывался с Telegram и получал команды операторов. В других случаях атакующие рассылали фишинговые письма с архивами и документами Word, содержащими вредоносные макросы. После открытия документа макрос загружал следующий этап вредоносной программы с удалённого сервера.

После проникновения в сеть злоумышленники действуют вручную, последовательно используя стандартные инструменты Windows. Операторы создают задания планировщика и изменяют ключи реестра для закрепления в системе, собирают пароли и копии баз данных учётных записей, а затем перемещаются по сети с помощью WMI и PsExec. Для маскировки активности отключаются функции Microsoft Defender и брандмауэра.

Отдельное внимание уделяется сбору данных из браузеров. Специалисты обнаружили несколько инструментов, написанных на Python и Go, которые извлекают историю посещений, сохранённые логины и файлы cookie из Chrome, Edge, Firefox, Opera и Yandex Browser. Полученные данные архивируются и отправляются на серверы управления.

По оценке авторов отчёта, Hydra Saiga взломала не менее 34 организаций в восьми странах. Основные цели — государственные структуры, энергетические компании, научные учреждения и юридические организации. Дополнительно зафиксированы попытки разведки и входа в сети более чем 200 организаций по всему миру.

Особенно заметной стала серия атак на инфраструктуру водных ресурсов Центральной Азии. Кампания затронула ведомства и предприятия в Киргизии, Узбекистане и Таджикистане, связанные с управлением водными ресурсами рек Сырдарья и Амударья. Параллельно фиксировались попытки доступа к системам управления промышленным оборудованием и объектам газовой инфраструктуры.

Исследование также выявило серьёзные ошибки со стороны операторов. В нескольких случаях злоумышленники случайно заразили собственные рабочие машины, из-за чего в распоряжении аналитиков оказались история браузеров, поисковые запросы и сведения об инфраструктуре атакующей стороны. Полученные данные помогли связать Hydra Saiga с ранее известным кластером Tomiris, который специалисты связывают с интересами Казахстана.

Авторы отчёта считают Hydra Saiga одной из наиболее устойчивых группировок в регионе. Операторы постоянно развивают инструменты и уже экспериментируют с новыми каналами управления вредоносными программами, включая использование Discord.