Масштабный шпионаж в СНГ попал в открытый отчет

Исследователи опубликовали отчет о масштабной шпионской кампании Hydra Saiga, которая уже пять лет охотится на государственные структуры и объекты критической инфраструктуры в Европе, Центральной Азии и на Ближнем Востоке. Главная цель — энергетика и водные ресурсы, а главное оружие — Telegram. Группировка использует мессенджер не для связи, а для управления вредоносным кодом, что делает инфраструктуру атак мобильной и трудно отслеживаемой.

Заражение начинается с классической социальной инженерии. В одном случае злоумышленники разослали файл под видом письма постоянного представителя Туркменистана в ООН. Исполняемый файл запускал скрытый скрипт PowerShell, который связывался с Telegram и ждал команд. В других вариантах использовались фишинговые письма с архивами и документами Word, содержащими вредоносные макросы. После открытия макрос загружал следующую стадию атаки с удаленного сервера.

Попав в сеть, операторы действуют вручную и профессионально. Они создают задания в планировщике, копаются в реестре, собирают пароли и базы данных учетных записей. Для перемещения по сети используют WMI и PsExec, а для маскировки — отключают Microsoft Defender и брандмауэр. Отдельный реверанс сделан в сторону браузеров: скрипты на Python и Go выуживают историю, логины и cookie из Chrome, Edge, Firefox, Opera и Yandex Browser.

Особый интерес группировки — водные ресурсы Центральной Азии. Атаки затронули ведомства и предприятия Киргизии, Узбекистана и Таджикистана, управляющие стоком Сырдарьи и Амударьи. Параллельно фиксировались попытки доступа к системам управления промышленным оборудованием и газовой инфраструктуре. Всего Hydra Saiga взломала не менее 34 организаций в восьми странах и пыталась войти в сети еще двух сотен по всему миру.

Авторы отчета называют Hydra Saiga одной из самых живучих группировок в регионе. Операторы постоянно совершенствуют инструменты и уже экспериментируют с новыми каналами управления, включая Discord. При этом они допустили и фатальные ошибки — заразили собственные машины, оставив аналитикам историю браузеров и поисковые запросы. Так выяснилось, что Hydra Saiga связана с кластером Tomiris, который специалисты связывают с интересами Казахстана. Иногда шпионы сами оставляют следов больше, чем хотят.