Ранее неизвестный бэкдор, то есть скрытая уязвимость с возможностью доступа и управления зараженным устройством, под названием IDFKA позволила хакерской группировке NGC5081 более 10 месяцев оставаться незамеченной в сетевой инфраструктуре российского интернет-провайдера. Об этом «Газете.Ru» рассказали в пресс-службе компании «Солар», ссылаясь на свежий отчет специалистов из центра исследования киберугроз Solar 4RAYS.
Инцидент был обнаружен в конце мая 2025 года, когда система мониторинга «Солар» зафиксировала аномальную активность в сети ИТ-подрядчика, обслуживающего атакованную компанию из сферы телекоммуникаций. Углубленный анализ показал, что инфраструктура подрядчика была одновременно скомпрометирована двумя независимыми хакерскими группами — азиатской Snowy Mogwai, известной своей шпионской деятельностью, и малоизученной NGC5081. Именно последняя использовала для скрытного доступа бэкдор IDFKA. Вскрыв подрядчика, хакеры получили доступ к инфраструктуре главной компании тоже.
Техническая особенность угрозы заключается в ее уникальной архитектуре. IDFKA был написан с нуля на далеко не самом популярном языке программирования Rust, что значительно затрудняет его статический анализ и обнаружение традиционными средствами защиты. Для скрытия коммуникаций с управляющим сервером бэкдор использует собственный сетевой протокол, что позволяет ему обходить стандартные системы обнаружения вторжений и средства мониторинга сетевого трафика. Функционал вредоноса включает не только удаленное выполнение команд, но и сканирование внутренней сети и сбор информации.
Благодаря этим возможностям злоумышленники смогли длительное время скрытно присутствовать в системе провайдера, осуществляя мониторинг и, предположительно, выгрузку конфиденциальной информации. Хотя прямых доказательств фактической утечки данных в ходе данного инцидента не найдено, экспертами риск этого инцидента был оценен как крайне высокий.
«Сетевая инфраструктура бэкдора все еще активна – это значит, что хакеры могут его применять в атаках и на другие организации», – предупредили в «Солар».
Специалисты Solar 4RAYS успешно удалили вредоносное ПО из инфраструктуры атакованной компании и нейтрализовали последствия атаки.
Хакеры взломали 120 000 домашних камер наблюдения и крали с них контент сексуального характера.