В сети госорганизации 1,5 года жили хакеры из группировки Erudite Mogwai

Доброе утро, коллеги! Вот вам напоминание о том, что бывает, когда систему контроля доступа оставляют без присмотра: в одной российской госорганизации группа Erudite Mogwai сидела целых 1,5 года, беспрепятственно собирая данные.

Каким образом?
Легко и просто.
Ведомство подключило к ИБ-мониторингу только часть сети, а вот СКУД (включая турникеты, кодовые замки и прочие системы) осталась за бортом. Хакеры взломали веб-сервис, попали на недоменный комп и дальше спокойно распространялись, пока не вышли в зону видимости Solar JSOC.

Erudite Mogwai не просто проникли в сеть, они развивали атаку плавно и незаметно, используя модифицированный форк Stowaway для проксирования трафика. Они внедрили сжатие LZ4, шифрование XXTEA и поддержку QUIC, меняли структуру протокола и даже кастомизировали алгоритмы. Ну и набор утилит у них впечатляющий: Shadowpad Light, Netspy, LuckyStrike Agent и другие.

Группа известна с 2017 года, атакует госучреждения и высокотехнологичные предприятия (авиация, электроэнергетика), а в код своей малвари добавляет отсылки к книгам и музыке. В общем, эрудированные могваи, но вредные.

P. S Если ты думаешь, что у тебя неинтересная работа, просто вспомни, что где-то есть безопасник, который полтора года мониторил сеть, не замечая присутствие хакеров.