Новая волна атак на государственные цифровые ресурсы в России привлекла внимание специалистов по информационной безопасности. Центр исследования киберугроз Solar 4RAYS, входящий в структуру ГК «Солар», зафиксировал инцидент, связанный с деятельностью неизвестной восточноазиатской хакерской группировки. В ходе атаки, начавшейся в декабре 2024 года, злоумышленники скомпрометировали веб-приложение одного из федеральных ведомств, получив доступ к серверной инфраструктуре.
По информации, поступившей в редакцию «Газеты.Ru», специалисты Solar 4RAYS классифицировали активность злоумышленников под кодом NGC4141 — new generic cluster. Такое обозначение указывает на то, что группа не может быть отнесена ни к одной из известных хакерских сетей.
Структура атаки оказалась поэтапной. Сначала — автоматизированное сканирование публичного ресурса, далее — ручной поиск слабых мест. В результате были внедрены вредоносные веб-оболочки, позволившие выполнять команды на уровне операционной системы.
Особый интерес вызвал тот факт, что атаке подверглось приложение, разработанное на кастомном движке. Такой софт редко фигурирует в общедоступных каталогах эксплойтов. Несмотря на наличие антивирусной защиты и WAF-системы, нападавшим удалось обойти барьеры и закрепиться в инфраструктуре. Как уточнили в Solar 4RAYS, используемые средства безопасности сыграли свою роль — они не остановили атаку, но помогли зафиксировать нестандартное поведение, что впоследствии позволило провести расследование.
Эксперты также обнаружили, что в процессе проникновения использовались внутренние имена серверов организации-жертвы. Эти же идентификаторы позже фигурировали при попытках атак на другие госструктуры. Такой подход может свидетельствовать либо о централизованной кампании, либо о передаче информации между различными кибергруппами.
Руководитель группы расследования инцидентов центра Solar 4RAYS Иван Сюхин прокомментировал ситуацию, отметив, что кастомные веб-приложения становятся удобной мишенью. По его словам, атаки, направленные на такие решения, часто недооцениваются, в то время как они открывают прямой путь к внутренним сетям.
Он уточнил, что наличие защитных решений само по себе не является гарантией — они затрудняют взлом, но не делают его невозможным. Сюхин рекомендовал владельцам ресурсов проводить аудит исходного кода и тестирование на проникновение, чтобы заранее выявлять потенциальные уязвимости.