Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
В последнее время все чаще обсуждается проблема киберугроз в отношении ключевых российских организаций со стороны хакерских группировок, представляющих интересы иностранных государств. Кибернападения становятся все более активными и агрессивными, а за реализацией подобного противостояния всегда стоят высокопрофессиональные кибергруппировки.
«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов», — рассказывает заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов.
Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.
Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПОи глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Выявленные атаки отличают несколько характерных особенностей. Во-первых,разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось.
Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.
«Эффективное противодействие подобным кибергруппировкам возможно только при сочетании нескольких факторов: богатого опыта обеспечения безопасности органов государственной власти, расширенного стека технологий по выявлению современных атак и сильной экспертной команды, способной на круглосуточное противодействие современным группировкам», — говорит вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России и «Ростелеком-Солар» (дочерняя структура ПАО «Ростелеком») во вторник, 18 мая, проводят пресс-конференцию «Национальные киберугрозы: новые вызовы и опыт противодействия». НКЦКИ представит статистику и данные о специфике атак на госорганы и объекты критической информационной инфраструктуры (КИИ) со стороны проправительственных кибергруппировок. Компания «Ростелеком-Солар» поделится экспертизой крупнейшего коммерческого центра противодействия кибератакам Solar JSOC в части выявления и противодействия таким угрозам, а также расскажет о реальном уровне киберзащиты российских организаций – субъектов КИИ. #bryakingnews
Обсуждение ( 0 комментариев )