Positive Technologies
Новости

Группировка Space Pirates нацелилась на ключевые отрасли экономики России: расследование Positive Technologies

17 июля 2023

За год в стране атакованы по меньшей мере 16 организаций

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) зафиксировали новую волну атак хакерской группировки Space Pirates. Преступники, известные масштабностью своих действий, разработали новые инструменты и увеличили число попыток атаковать российский государственный сектор, авиационную и ракетно-космическую промышленность, образовательные учреждения.

Согласно расследованию PT ESC, за последний год Space Pirates совершила успешные атаки по меньшей мере на 16 организаций в России. Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако группировка расширила сферу своих интересов. Среди новых жертв эксперты выделяют государственные, образовательные учреждения, охранную организацию, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплексов, а также компании, занимающиеся информационной безопасностью. Жертвой Space Pirates стало также одно министерство в Сербии.

«В течение года мы часто сталкивались с активностью Space Pirates во время расследований кибератак, — говорит Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — За этот период тактики группировки практически не поменялись, однако она разработала новые инструменты, реализующие нестандартные техники (как, например, Voidoor), и улучшила старые. На одном из управляющих серверов Space Pirates мы обнаружили сканер Acunetix: это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который мы раньше не наблюдали. Чтобы защититься от угроз, связанных с деятельностью группировки, мы рекомендуем принимать проактивные меры, использовать песочницы, позволяющие выявлять даже сложное ВПО, и анализаторы трафика».

Эксперты Positive Technologies впервые зарегистрировали активность Space Pirates в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора получило фишинговое письмо с неизвестным ранее вредоносным программным обеспечением. За последующие два года специалисты выявили еще четыре скомпрометированные организации (две из них — компании с госучастием), которые были подвержены атакам преступников. PT ESC продолжает мониторинг и реагирование на угрозы, в том числе связанные с указанной группировкой.

Продукты Positive Technologies — система поведенческого анализа трафика PT Network Attack Discovery (PT NAD) и сетевая песочница PT Sandbox — способны задетектировать зловредные действия Space Pirates, предотвратить атаку и обнаружить зараженные узлы в сети. Актуальные версии средств защиты уже содержат необходимую для этого экспертизу. Так, PT Sandbox обнаруживает вредоносное ПО, используемое группировкой, а также определяет дополнительный хакерский инструментарий, замеченный во время расследований. Кроме того, песочница проводит проверку ВПО с помощью комбинации поведенческого анализа, сетевых и YARA-правил PT ESC и на основе алгоритмов машинного обучения. PT NAD при анализе использует репутационные списки c доменными именами и IP-адресами, принадлежащими киберпреступникам. Собственные правила обнаружения угроз определяют сетевую активность бэкдоров и вредоносного ПО на зараженных устройствах внутри защищаемой сети.

Группировка Space Pirates активно атакует организации ключевых отраслей России