Новый бэкдор для кражи баз данных
Центр исследования киберугроз Solar 4RAYS ГК «Солар» сообщил, что его специалисты, расследуя атаку на одну из телеком-компаний, выявили новый бэкдор IDFKA, который позволил злоумышленникам получить доступ к базе данных абонентов и все еще представляет угрозу для российских компаний. Он хорошо скрывается от обнаружения, что помогло хакерам находиться в инфраструктуре жертвы более 10 месяцев.
В конце мая 2025 г. эксперты центра противодействия кибератакам Solar JSOC ГК «Солар» зафиксировали запуск подозрительных команд в инфраструктуре телеком-оператора от имени служебной учетной записи, которая администрировалась ИТ-подрядчиком. Как выяснили эксперты «Солар», в сеть подрядчика проникли сразу две хакерские группировки – азиатская Snowy Mogwai, атакующая с целью шпионажа, и еще не до конца изученная NGC5081.
Обе группы атаковали подрядчика с целью кражи данных у телеком-компании. NGC5081 для управления учетной записью жертвы использовала два бэкдора – азиатский Tinyshell и неизвестное ранее вредоносное ПО, которое эксперты Solar 4RAYS назвали IDFKA. Бэкдор был обнаружен в процессе реагирования, подозрительный файл мимикрировал под один из легитимных сервисов. Схожее название фигурировало в одном из компонентов бэкдора – оно отсылает к чит-коду в популярной компьютерной игре Doom (IDKFA), который дает игроку все оружие, боеприпасы и ключи.
IDFKA был разработан атакующими с нуля, что говорит о высокой технической подготовке группировки. Он написан на нестандартном языке Rust, что усложняет его исследование ИБ-специалистами. Бэкдор использует собственный протокол L4, работающий поверх IP, что позволяет скрывать сетевую активность от ИБ-мониторинга, и выполняет множество функций от простого управления устройством жертвы до продвижения и сканирования внутренней инфраструктуры компании-подрядчика.
Бэкдор дал возможность группировке незаметно находиться в инфраструктуре подрядчика не менее 10 месяцев. С его помощью хакеры как минимум могли выгружать данные баз об абонентах и звонках – есть вероятность, что они были украдены. При этом фактических следов похищения данных эксперты Solar 4RAYS не обнаружили. Сетевая инфраструктура бэкдора все еще активна, т.е. хакеры могут его применять в атаках и на другие организации.
Эксперты Solar 4RAYS опубликовали индикаторы компрометации и Yara-правило для выявления бэкдора. Для защиты от IDFKA они рекомендуют вести мониторинг ИТ-инфраструктуры на предмет обращения к известным управляющим серверам NGC5081, быть внимательнее к файлам, написанным на Rust, использовать комплексные средства защиты от киберугроз и регулярно проводить оценку компрометации инфраструктуры.