Хакеры маскируются под поставщиков АСУ ТП для проникновения в сети российских госорганизаций и крупных компаний

Группа BO Team, деятельность которой с начала 2024 года отслеживается экспертами «Лаборатории Касперского», продолжает активные атаки на российские учреждения. Специалисты компании сообщили, что с лета прошлого года наблюдается устойчивая волна кибервторжений, направленных против государственных и коммерческих структур. Фиксируются случаи взлома в отраслях телекоммуникаций, промышленности и информационных технологий.

Аналитики подчёркивают, что BO Team, также фигурирующая под названиями Black Owl, Lifting Zmiy и Hoody Hyena, действует не просто как преступное объединение, а как разрушительная сила, нацеленная на дестабилизацию ИТ-инфраструктуры. Методы варьируются от стирания цифровых следов до блокировки данных с последующим вымогательством.

По наблюдениям специалистов, основное внимание группы сосредоточено на получении доступа через фишинговые письма. Жертве отправляется письмо с вложением, которое при открытии активирует скрытую установку вредоносного ПО. В числе используемых программ — DarkGate, BrockenDoor и Remcos, каждая из которых позволяет организовать удалённое управление заражённым устройством.

Особое внимание эксперты уделили применяемой социальной инженерии. BO Team не просто рассылает вредоносные файлы — в некоторых случаях атакующие представляются сотрудниками существующей компании, работающей в сфере автоматизации. Подмена создаёт правдоподобную оболочку, которая способна ввести в заблуждение даже опытных пользователей. Среди прикрытий встречаются и иные организации, что расширяет спектр потенциальных жертв.

Команда «Лаборатории Касперского» рассказала о приёмах, с помощью которых киберпреступники отвлекают внимание. Один из способов — документ-приманка, открывающийся параллельно с запуском вредоносного файла. В частности, был выявлен случай использования фальшивого PDF, в котором якобы содержалось коммерческое предложение. Дополнительно в браузере запускался сайт популярного сервиса для проверки деловой репутации компаний. Он отображал сведения о реально действующей фирме, внешне усиливая доверие к письму и снижая осторожность пользователя.

После проникновения внутрь системы преступники продолжают операцию, используя стандартные средства Windows. Они переименовывают вредоносные компоненты в файлы, визуально неотличимые от системных или общеизвестных исполняемых приложений. Такой подход помогает скрываться от антивирусов и систем мониторинга.

Для закрепления в сети применяются встроенные механизмы Windows, в частности, планировщик задач. Кроме того, преступники активируют ранее полученные логины и пароли, что позволяет им углублять контроль над системой, не вызывая подозрений. Специалисты подчёркивают, что BO Team действует грамотно, а их стратегия ориентирована на долгосрочное присутствие в скомпрометированных инфраструктурах.