Эксперты центра анализа киберугроз Solar 4Rays, входящего в группу компаний «Солар», изучили инцидент с проникновением в сеть телекоммуникационного оператора и обнаружили ранее неизвестный бэкдор IDFKA. Этот инструмент предоставил злоумышленникам возможность доступа к клиентской базе данных и продолжает оставаться опасностью для российского бизнеса. Высокая скрытность бэкдора позволила хакерам оставаться незамеченными в системе жертвы на протяжении более десяти месяцев.
В мае 2025 года аналитики центра мониторинга и реагирования на кибератаки Solar JSOC ГК «Солар» обнаружили выполнение подозрительных команд в инфраструктуре оператора связи от имени служебной учетной записи, управляемой внешним ИТ-подрядчиком. Специалисты «Солара» присоединились к расследованию и установили, что в сеть подрядчика одновременно внедрились две хакерские группы: азиатская Snowy Mogwai, действующая в шпионских целях, и малоизученная NGC5081.
Обе группы атаковали подрядчика, чтобы похитить информацию телеком-компании. NGC5081 для контроля над учетной записью жертвы использовала два бэкдора — азиатский Tinyshell и новый вредонос, получивший от экспертов Solar 4Rays название IDFKA. Этот бэкдор был выявлен в ходе реагирования; подозрительный файл маскировался под легитимную системную службу. Название отсылает к чит-коду из культовой компьютерной игры Doom (IDKFA), который предоставляет игроку всё оружие, патроны и ключи, — схожее имя фигурировало в одном из компонентов вредоноса.
IDFKA был создан атакующими с нуля, что свидетельствует о высоком уровне технической подготовки группы. Код написан на языке Rust, что нетипично для подобных угроз и осложняет его анализ для специалистов по информационной безопасности. Бэкдор использует собственный протокол L4, работающий поверх IP, что помогает скрывать его сетевую активность от систем мониторинга. Вредонос обладает широким функционалом — от базового управления скомпрометированным устройством до перемещения по сети и сканирования внутренней инфраструктуры подрядчика.
С помощью этого бэкдора группировка оставалась скрытой в инфраструктуре подрядчика как минимум 10 месяцев. Хакеры, в частности, могли выгружать данные об абонентах и звонках — высока вероятность, что эта информация была похищена. При этом прямых доказательств утечки данных эксперты Solar 4Rays не нашли. Сетевая инфраструктура, используемая бэкдором, до сих пор активна, что означает возможность его применения в атаках на другие компании.
Специалисты Solar 4Rays очистили инфраструктуру телеком-оператора от вредоносного кода и ликвидировали последствия деятельности группировки NGC5081. Дополнительно эксперты опубликовали индикаторы компрометации и Yara-правило для обнаружения бэкдора IDFKA.
Для защиты от угрозы IDFKA эксперты Solar 4Rays советуют: отслеживать ИТ-инфраструктуру на предмет обращений к известным командным серверам NGC5081; уделять повышенное внимание файлам, написанным на Rust; применять комплексные решения для защиты от киберугроз; регулярно проводить оценку безопасности инфраструктуры на предмет возможных компрометаций.
