Специалисты обнаружили новый бэкдор IDFKA на Rust для скрытого доступа к базам данных

Специалисты центра исследования киберугроз Solar 4RAYS расследовали атаку на телеком-компанию и выявили новый бэкдор IDFKA. Этот инструмент позволил злоумышленникам получить доступ к базе данных абонентов и представляет угрозу для других российских организаций.

По данным Solar 4RAYS, в конце мая 2025 года в инфраструктуре оператора был зафиксирован запуск подозрительных команд от имени учетной записи IT-подрядчика. В ходе расследования выяснилось, что к сети подрядчика получили доступ две хакерские группировки — Snowy Mogwai и NGC5081. Последняя использовала для управления два бэкдора, одним из которых был ранее неизвестный IDFKA.

Бэкдор IDFKA был разработан с нуля на языке Rust, что усложняет его анализ. Он использует собственный протокол L4 поверх IP для сокрытия сетевой активности и обладает широким функционалом — от управления устройством до сканирования внутренней сети.

С помощью этого бэкдора злоумышленники могли незаметно находиться в системе подрядчика не менее 10 месяцев. Как сообщили в Solar 4RAYS, хакеры имели возможность выгружать данные об абонентах и звонках, однако прямых следов кражи информации обнаружено не было. Сетевая инфраструктура бэкдора остается активной, что предполагает возможность новых атак.

Вредоносное ПО было удалено из инфраструктуры пострадавшей компании. Solar 4RAYS также опубликовала индикаторы компрометации и Yara-правило для обнаружения угрозы. Для защиты эксперты рекомендуют мониторить обращение к известным управляющим серверам NGC5081, уделять повышенное внимание файлам на Rust, использовать комплексные средства защиты и регулярно проводить оценку безопасности инфраструктуры.

Как устроена, на чем построена и сколько стоит ИБ-система Федеральной таможенной службы. Разбор SecPost

Архитектура