Фото: globallookpress.com
Курс на цифорвизацию экономики, взятый российским правительством, а также активное внедрение информационных технологий во все сферы деятельности государства и общества приводят к увеличению зависимости от бесперебойной работы данных систем. В результате получение контроля над отечественными информационными ресурсами неизбежно становится объектом устремлений профессиональных кибергруппировок, которые, скорее всего, действуют в интересах иностранных спецслужб.
В 2020 году Национальный координационный центр по компьютерным инцидентам (НКЦКИ) совместно с национальным провайдером технологий кибербезопасности «Ростелеком-Солар» выявили серию масштабных кибератак нароссийские федеральные органы исполнительной власти.
Результаты расследования были представлены во время онлайн-конференции «Национальные киберугрозы: новые вызовы и опыт противодействия», которая прошла в пресс-центре МИА «Россия сегодня».
В ходе анализа серии целенаправленных кибератак на федеральные органы исполнительной власти (ФОИВ) удалось выяснить, что первая компрометация IT-инфраструктуры произошла ещё в 2017 году. Проникнув внутрь инфраструктуры, в течение месяца хакеры получили возможность управлять контроллером домена, а также завладели доступом к почтовым серверам с возможностью чтения переписки и доступом к точкам сопряжения, что, как следствие позволило бы развивать атаку на другие организации и органы исполнительной власти. Находясь в системе, киберпреступники работали очень скрытно: их невозможно было детектировать стандартными средствами защиты. В процессе проникновения основная часть их усилий тратилась на сокрытие следов их работы – вплоть до того, что они умело отключали большинство современных антивирусов, в то время как для администраторов сервисов все выглядело исправно.
Как отметил вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов, основными целями атаки были: кража конфиденциальной информации, чтение почтовой переписки, получение полного доступа ко всем элементам IT-инфраструктуры и закрепление в системе. Наиболее активная фаза развития атаки пришлась на 2020 год. Злоумышленники попытались расширить области своего влияния и количество скомпрометированных объектов, тогда то и были обнаружены. «Один из наших инженеров реагирования обнаружил следы, причем быстро исчезнувшие, попытки прикосновения к одному из серверов защиты нашего заказчика. Именно минутного прикосновения, но этого было достаточно для того, чтобы мы получили ниточку для понимания того, что происходит», – уточнил он.
По словам авторов отчёта, для проникновения в российские IT-инфраструктуры злоумышленники использовали три основных вектора атак: взлом веб-приложений, фишинговые рассылки с вредоносным вложением, а также маскировались под инфраструктуры подрядных организаций (информация о них находится в открытых источниках).
Игорь Ляпунов уверен, что такого уровня атаки на федеральные органы исполнительной власти – это не результат деятельности обычных коммерческих группировок. Дело в том, что коммерческие группировки атакуют в первую очередь с целью монетизации, а в системах госуправления никакой монетизации не возникает. Кроме того, уровень сложности подобной атаки и её фактической стоимости в разы превышает эффект от продажи конфиденциальных данных ФОИВ – чтобы совершать такую атаку специально разрабатываются ПО, над которыми работают десятки, если не сотни высококвалифицированных специалистов. «Оценивая злоумышленников по уровню подготовки и квалификации, мы склонны отнести данную группировку к кибернаемникам, преследующим интересы иностранного государства», – говорится в совместном отчёте НКЦКИ и «Ростелеком-Солар».
После того, как были обнаружены факты проникновения и было проведено расследование команда «Ростелеком-Солар» приступила к вычистке IT-инфраструктур от хакеров. Как выяснилось, злоумышленники надежно закрепились в инфраструктуре, создав 12 резервных каналов доступа. По словам И. Ляпунова, после зачистки были множественные попытки вернуться.
«Сейчас тема кибербезопасности, с одной стороны, на виду и на слуху, а с другой стороны, практических кейсов и примеров противодействия киберпреступникам очень мало. Тот опыт, который получен нами, очень важно тиражировать и распространять на всех участников рынка кибербезопасности», – уверен Игорь Ляпунов.
Заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов назвал атаку опасным прецедентом. «Несмотря на уникальные особенности данного инцидента, уровень примененных средств является отражением четко прослеживающейся тенденции. Она заключается в очень быстром развитии средств проведения компьютерных атак и увеличения активности злоумышленников, имеющих высочайшую квалификацию. Информационные ресурсы органов госвласти являются приоритетными целями для таких злоумышленников», – сказал он.
По данным НКЦКИ, число таких атак неуклонно растет – в 2019 -2020 гг. их количество возросло на 40%. Н. Мурашов уточнил, что названия конкретных госорганов, на которые было совершено кибернападение, не называются намерено, а также добавил, что не один из ФОИВ-ов не понес материальный ущерб. Удар, по его словам, был нанесён только по репутации.
Читайте другие материалы журнала «Международная жизнь» на нашем канале Яндекс.Дзен.
Подписывайтесь на наш Telegram – канал: https://t.me/interaffairs