У телеком-секторі зафіксовано ще один показовий інцидент кібершпигунства: аналітики Solar 4RAYS описали раніше невідомий бекдор IDFKA, який протягом щонайменше 10 місяців залишався непоміченим в інфраструктурі російського ІТ‑підрядника та його телеком‑клієнтів. Цей інцидент демонструє, наскільки небезпечним стає поєднання сучасних мов програмування, нестандартних протоколів і грамотного маскування в атаках на критично важливу інфраструктуру.
Початок розслідування: аномальна активність у PostgreSQL
Перші ознаки атаки з’явилися наприкінці травня 2025 року, коли фахівці помітили нетипові команди в середовищі PostgreSQL, що виконувалися від імені службової облікової записи підрядника. Команди не відповідали звичайним адміністративним чи бізнес‑операціям, що стало індикатором можливого використання СУБД як точки входу і плацдарму для закріплення в мережі.
Подальший аналіз показав, що мережа підрядника одночасно опинилася під прицілом двох різних акторів: відомої азійської шпигунської групи Snowy Mogwai та менш дослідженого кластера загроз NGC5081. Саме NGC5081 застосувало новий бекдор IDFKA у зв’язці з уже знайомим інструментом Tinyshell.
Дві незалежні кібершпигунські операції в одній інфраструктурі
Експерти Solar 4RAYS підкреслюють, що дії NGC5081 та Snowy Mogwai не були скоординовані. Про це свідчать відмінні C2‑інфраструктури, різні техніки приховування та відсутність перетину заражених систем: частина хостів була скомпрометована лише одним із сімейств шкідливого ПЗ. Подібні ситуації, коли кілька груп одночасно використовують одну й ту саму інфраструктуру жертви, дедалі частіше ускладнюють атрибуцію інцидентів та реагування.
Технічний профіль бекдора IDFKA
IDFKA створено з нуля на мові Rust. Використання Rust у шкідливому ПЗ стає стабільною тенденцією: мова забезпечує безпечне керування пам’яттю, кросплатформеність і ускладнює статичний та динамічний аналіз зразків. Назва бекдора відсилає до культового чит‑коду IDKFA з гри Doom, що символічно відображає його можливості повного контролю над зараженою системою.
Власний протокол поверх IP та шифрування корисного навантаження
Ключова відмінність IDFKA — застосування кастомного L4‑протоколу поверх IP. Оскільки більшість систем виявлення вторгнень орієнтовані на аналіз відомих протоколів (TCP, UDP, HTTP тощо), нестандартний транспорт суттєво ускладнює детекцію C2‑трафіку та сигнатурний аналіз.
Основна функціональна логіка бекдора зашифрована за допомогою AES у режимі ECB. Для розшифрування необхідна спеціальна змінна оточення TRM64CFG. Такий підхід обмежує можливості дослідників при аналізі ізольованих зразків і ускладнює відтворення умов роботи шкідливого ПЗ поза реальною інфраструктурою жертви.
Для зв’язку з керувальними серверами IDFKA підтримує одразу кілька каналів: TCP/UDP, ICMP, HTTP та власні протоколи. Багатоканальність забезпечує стійкість C2‑інфраструктури: навіть при блокуванні частини трафіку бекдор може підтримувати зв’язок через альтернативні маршрути.
Можливості: розвідка, рух по мережі та крадіжка облікових даних
Набір функцій IDFKA відповідає класу сучасних кібершпигунських платформ. Бекдор дозволяє віддалено виконувати команди, проводити сканування внутрішньої мережі, виконувати brute force SSH‑доступу, а також викрадати облікові дані.
Для перехоплення паролів зловмисники задіюють ptrace і eBPF — механізми низькорівневого моніторингу, вбудовані в ядро Linux. Через eBPF можливе непомітне відстеження системних викликів і мережевої активності без встановлення традиційних rootkit‑модулів, що робить подібні атаки особливо складними для виявлення.
Методи приховування та тривале перебування у мережі
IDFKA спроєктовано з акцентом на максимальну скритність. Шкідливі виконувані файли маскувалися під системні служби Linux і розміщувалися у стандартних каталогах, де їх важче відрізнити від легітимних бінарників при поверхневій перевірці.
Принципово важливим рішенням атакувальників стала відмова від автозапуску. В інфраструктурі телеком‑провайдерів сервери майже не перезавантажуються роками, тому бекдор зберігав присутність у пам’яті без створення додаткових артефактів у системі, які могли б привернути увагу захисників.
Найраніший знайдений зразок IDFKA датовано листопадом 2024 року, проте артефакти компрометації вказують на початок зламу вже у вересні 2024‑го. Зловмисники целенаправлено чистили журнали, змінювали файли wtmp і lastlog, а також вручну підмінювали окремі сліди активності, що дозволило їм залишатися в мережі не менше 10 місяців.
Телеком‑оператори як пріоритетна ціль NGC5081
Через декілька днів після розгортання IDFKA в інфраструктурі ІТ‑підрядника зловмисники скомпрометували кластер PostgreSQL першого телеком‑клієнта, а в квітні 2025 року — ще один кластер іншого оператора. У їх розпорядження потрапили бази даних абонентів і метадані дзвінків, які потенційно можуть бути використані для подальших таргетованих атак, шантажу або кореляції з іншими наборами даних.
Прямих доказів масового витоку інформації не виявлено, однак сам факт такого доступу суттєво підвищує ризики для конфіденційності й репутації постраждалих компаній. На момент публікації дослідження C2‑сервери залишалися активними, а їх конфігурація оновлювалася ще у вересні 2025 року, що свідчить: IDFKA досі входить до актуального інструментарію NGC5081. Сукупність технічних ознак та спільна інфраструктура з Tinyshell вказують на ймовірне східноазійське походження угруповання, хоча формальна атрибуція поки відсутня.
Технічна складність бекдора IDFKA, використання Rust, eBPF і власного протоколу поверх IP дозволяють віднести його до класу розвинених кібершпигунських платформ, співставних із такими рішеннями, як GoblinRAT. Для телеком‑операторів і їхніх підрядників критичними стають: жорсткий контроль привілейованих облікових записів, постійний аудит активності в СУБД PostgreSQL, моніторинг аномалій на мережевому та системному рівнях, а також оперативне застосування IOC та YARA‑правил, опублікованих дослідниками. Інвестування в ці практики суттєво знижує шанси того, що подібні бекдори зможуть роками залишатися непоміченими в критичних сегментах інфраструктури.
