«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Суть новой, изощренной схемы заключается во внедрении поддельных обновлений, которые искусно маскируются под легитимные. Это позволяет им незаметно проникать в системы пользователей и компаний. После успешной компрометации, SocGholish становится лазейкой для других, более специализированных кибергруппировок (APT-групп), которые покупают доступ к скомпрометированным системам для дальнейшего использования. Это может включать кражу учетных данных, финансовой информации, а также проведение целевых атак на критически важную инфраструктуру.
«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.
