С мая по июль этого года безопасники Positive Technologies зафиксировали более 180 систем российских КИИ-организаций, заражённых софтом группировки PhantomCore. Жертвы были предупреждены до наступления серьёзных последствий.
Мишенями хакеров стали госструктуры, НИИ, ИТ-компании, предприятия ВПК и сферы судостроения, химической и горнодобывающей отраслей, а также обрабатывающей промышленности. Первые заражения были замечены 12 мая, а пик пришёлся на конец июня (только 30 июня произошло 56% всех известных атак). В среднем «фантомы» находились в сетях почти месяц, а в некоторых случаях — до 78 дней. К июлю как минимум 49 хостов всё ещё контролировалось преступниками.
Хак-группа действует с начала прошлого года и использует всё — от популярных open-source-утилит до редких авторских инструментов. Её инфраструктура сегментирована — разные серверы отвечают за разные классы задач, и половина из них расположена в России. Остальные находятся в Финляндии, Франции, Нидерландах, США, Германии, Гонконге, Молдове и Польше.
«Мы предполагаем, что основной всплеск рассматриваемой кампании кибершпионажа произошёл в результате эволюции вредоносного арсенала PhantomCore. Вероятно, до конца апреля злоумышленники подготавливали новую серию атак, работая преимущественно над инструментарием, — отметил Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI. — Кроме того, нам удалось обнаружить новое ответвление группировки, не входящее в основное звено и состоящее из низкоквалифицированных специалистов. Предположительно, его организовал один из членов основной PhantomCore для наращивания киберпреступной активности и расширения поверхности атаки».
