Онлайн-пресс-конференция Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» «Национальные киберугрозы: новые вызовы и опыт противодействия» прошла во вторник, 18 мая. Как рассказали спикеры, кибернападения со стороны хакерских группировок, представляющих интересы иностранных государств, становятся все более активными и агрессивными, а за реализацией подобного противостояния всегда стоят высокопрофессиональные кибергруппировки.
По данным НКЦКИ, за 2020 г. профессиональные атаки на субъекты критической информационной инфраструктуры (КИИ), в том числе на крупные федеральные органы исполнительной власти (ФОИВ), продемонстрировали рост более чем на 40% в сравнении с 2019 годом. Об этом сразу заявил замдиректора Национального координационного центра по компьютерным инцидентам Николай Мурашов.
Эти атаки были выявлены в 2020 году специалистами центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России). Отчет содержит данные открытой части исследования, разрешенные для публичного распространения.
Уровень злоумышленников (используемые технологии и механизмы, скорость и качество проделанной ими работы) позволяет квалифицировать их как кибернаёмников, преследующих интересы иностранного государства. Такие злоумышленники могли долго находиться внутри инфраструктуры и не выдавать себя. Главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ.
Для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак:
— фишинг (тщательно проработанный под специфику деятельности органа госвласти)
— эксплуатация уязвимостей веб-приложений, опубликованных в сети Интернет
— взлом инфраструктуры подрядных организаций (Trusted Relationship)
Уже внутри периметра хакеры собирали информацию об устройстве сети и о ключевых сервисах. Для получения максимального контроля они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе высокий уровень скрытности за счет использования легитимных утилит, недетектируемого ВПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти. После полной компрометации инфраструктуры, целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Технические особенности атак:
• разработанное злоумышленниками ВПО для выгрузки собираемых данных использовало облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное ВПО ранее нигде не встречалось;
• хакеры явно изучили особенности административной работы с одним из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
«Имея опыт успешного противодействия проправительственным кибергруппировкам, мы считаем стратегически важным донести его до рынка и сформировать новые ИБ-стандарты по защите ключевых инфраструктур РФ. Когда-то уникальные хакерские технологии сегодня становятся все более распространенными, и стандартные средства защиты, применяемые в госструктурах и субъектах КИИ, оказываются бессильными. В таких условиях первостепенной задачей становится внедрение механизмовраннего выявления атак, которые позволяют свести к минимуму потенциальный ущерб. В противном случае работы по локализации и зачистке угрозы могут оказаться колоссально трудоемкими – в случае с крупной инфраструктурой они могут занять от нескольких недель до нескольких месяцев, в течение которых организация (владелец критически важных для страны данных) всё еще будет под прицелом взломавших её хакеров, что совершенно недопустимо», — сказал на пресс-конференции вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.
Один из последних примеров – серия атак на органы государственного управления со стороны высококвалифицированной группировки хакеров.
Закрепление злоумышленников в инфраструктуре началось еще в 2017 году, три с половиной года они оставались незамеченными. В 2020 году группировка попыталась развить атаку на еще один из ФОИВ – клиента центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Расследование этого инцидента стало отправной точкой для выявления всей цепочки атак. К моменту обнаружения у группировки, помимо основного, было более 12 резервных каналов доступа в инфраструктуру атакуемой организации: подключение через соседние инфраструктуры, оставленные доступы на взломанных веб-серверах, учетные записи для удаленного доступа с разными привилегиями. Для реализации данной атаки злоумышленники написали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все – не выявляемые антивирусом.
В среднем примерно за месяц группировка получала полный контроль над ключевыми узлами инфраструктур организаций: полный доступ к контроллеру домена и всем учетным записям, доступ к почтовым серверам с возможностью чтения рабочей переписки, доступ к точкам сопряжения с другими инфраструктурами, что позволяло развивать атаку в другие организации или органы исполнительной власти.
Со стороны группировки была выполнена огромная работа по изучению российских ИКТ: адаптация вредоносного ПО под работу с российскими облачными сервисами с полным изучением их API, обход российских средств защиты.
«Уникальные особенности данной атаки обусловлены высоким уровнем примененных в ней технических средств, однако в целом она отражает явную тенденцию последних двух лет: активность высококвалифицированных группировок в отношении российских органов государственной власти и субъектов КИИ неуклонно растет. При этом уровень злоумышленника, которому приходится противостоять владельцам государственных информационных систем – иностранные спецслужбы. Их целью является, как правило, компрометация ИТ-инфраструктуры и кража конфиденциальных данных госорганов и учреждений, а мотивом – действия в интересах иностранных государств.Тем не менее, даже в таких непростых условиях развиваемая в нашей стране Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) доказала свою действенность: заложенные в ней механизмы взаимодействия позволили нам оперативно выявить весь круг пострадавших объектов и оказать им содействие в ликвидации последствий атак», — рассказал замдиректора НКЦКИ Николай Мурашов.
В ходе пресс-конференции была представлена соответствующая статистика и дана информация о специфике атак на госорганы и объекты критической информационной инфраструктуры со стороны проправительственных кибергруппировок. Также были освещены данные экспертизы крупнейшего коммерческого центра противодействия кибератакам Solar JSOC в части выявления и противодействия таким угрозам.
«Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства. Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами – совершенно незаметно для организации-жертвы», — пояснил директор центра противодействия кибератакам SolarJSOCкомпании «Ростелеком-Солар» Владимир Дрюков.
Речь шла и о реальном уровне киберзащиты российских организаций — субъектов критической информационной инфраструктуры. Для «зачистки» федеральной информационной инфраструктуры среднего размера от злоумышленников требуется более 2 недель круглосуточной работы 70 специалистов ИТ- и ИБ-служб организации, сервис-провайдера и регулятора. #bryakingnews [1]