Спецслужбы против ГосСОПКА

НКЦКИ и «Ростелеком-Солар» обнаружили иностранное вторжение

Компания «Ростелеком-Солар» раскрыла подробности совместного с НКЦКИ расследования серии целенаправленных кибератак против российских федеральных органов исполнительной власти. По заявлению компании главной целью хакеров являлась полная компрометация ИТ-инфраструктуры некоторых российских ФОИВов и кража их конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников. Атрибуция атак не разглашается — сообщается лишь, что по уровню подготовки и реализации атаки могли поддерживать иностранные спецслужбы.

Подробности инцидента

В пресс-релизе компании утверждается, что для проникновения в инфраструктуру ФОИВов нападающие использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Причем фишинговые сообщения были построены с учётом специфики того или иного органа исполнительной власти и используемых ими информационных систем, а для развития нападения применялись легальные программы, используемые в ФОИВах, и недетектируемые вредоносные программы. Похоже, что в процессе атаки нападающие использовали легитимные компоненты одного из популярных российских антивирусов для сбора дополнительной информации об атакуемой сети.

Атакующие стремились получить максимальный контроль. Они проникли на рабочие станции ИТ-администраторов с высокими привилегиями доступа и в системы управления инфраструктурой. Причем, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось. Это говорит о тщательной предварительной работе, проделанной злоумышленниками, и уникальной разработке средств нападения, нацеленных на конкретные инструменты защиты и ИТ-инфраструктуры. По данным «Ростелеком-Солар» после полной компрометации инфраструктуры злоумышленники рассчитывали собрать конфиденциальную информацию из всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы, — заявил заместитель директора НКЦКИ Николай Мурашов. — Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов».

Разбор полетов

В целом, можно отметить, что построенная российским государством система защиты критической информационной инфраструктуры в виде ГосСОПКА работает. Сейчас по всем участникам, которые взаимодействовали с этой государственной структурой, будут разосланы признаки компрометации, и в случае их положительного срабатывания будут обнаружены все элементы, подвергшиеся атаке. Было бы интересно узнать статистику по данному инциденту, однако сейчас понятно, что быстро она собрана быть не может. «Ростелеком-Солар» — это один из коммерческих центров реагирования, и хорошо, что его специалистам удалось выявить подобную атаку, и теперь все остальные SOC будут знать, что искать.

Конечно, сейчас рано говорить от атрибуции атаки — ей будут заниматься и НКЦКИ, и «Ростелеком-Солар», и антивирусная компания, инфраструктура которой возможно была затронута атакой. Однако все ещё помнят о заявлении американского руководства по организации кибератак против России, поэтому первое, что приходит в голову — это обвинить в атаке именно американцев, хотя спецслужбы практически любой страны вполне могут стоять за подробным нападением. Тем не менее, после обмена первыми ударами лучше всё-таки отложить оружие в сторону и начать договариваться об обеспечении стабильности киберпространства и, в частности, критических информационных инфраструктур всех мировых держав. Россия неоднократно предлагала заключение подобных соглашений, однако так и не получила ответа от оппонентов. Возможно, время договариваться всё-таки настало.

rt-solar.ru

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку