История
2024: Присутствие в сетях российских госкомпаний
В мае 2024 года в ИБ-компания «Солар» сообщила о выявлении прогосударственной хакерской группировки Shedding Zmiy, которая атаковала десятки российских организаций.
По словам экспертов, кибергруппировка представляет серьезную угрозу для российской инфраструктуры, поскольку она использует как публично доступное вредоносное ПО, так и уникальное, разработанное специально под конкретные цели, а для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. При этом, как рассказали в группе «Солер», Shedding Zmiy умеет запутывать следы: группировка владеет «обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах; это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP)».
По данным специалистов «Солара», хакерская группировка применяет высокопрофессиональную социальную инженерию. Так, например, для одной из кибератак они создали профиль в Telegram, выдали себя за специалиста службы информационной безопасности и «выпросили» у сотрудника компании пароль от учетной записи.
Мы назвали группировку Shedding Zmiy, потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур, — говорит инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов. — Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак. И именно Zmiy, так как с группировкой связаны несколько проукраинских Telegram-каналов, в которых публиковали данные, украденные у атакованных организаций. |
В «Соларе» не уточнили, к какой стране относится кибергруппировка Shedding Zmiy.[1]