Исследование APT-атак на государственные учреждения Казахстана и Киргизии

В марте 2019 года в «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Это обращение послужило поводом к началу расследования, по результатам которого специалисты нашей компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение.

В ходе расследования было установлено, что сетевая инфраструктура учреждения была скомпрометирована как минимум с декабря 2017 года. 

Кроме того, в феврале 2020 года в компанию «Доктор Веб» обратились представители государственного учреждения Киргизской Республики с признаками заражения корпоративной сети. Наша экспертиза установила наличие в сети ряда вредоносных программ, некоторые модификации которых также использовались в атаке на организацию в Казахстане. Анализ показал, что, как и в предыдущем случае, заражение началось задолго до обращения — в марте 2017 года.

Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, мы допускаем, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является эксклюзивными инструментами известных APT-групп, другая часть — используется различными APT-группами Китая.

Польностью результаты исследования можно посмотреть на сайте компании .

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!