90% ИТ-систем российских госструктур может взломать обычная кибершпана
Большинство госструктур уязвимы для киберхулиганов даже с самым низким уровнем квалификации. Основные причины такой доступности – отсутствие своевременного обновления ПО, использование устаревших версий программ и отказ от базовых средств защиты.Примитивные бреши в ИТ-структурах
90% госструктур при желании могут взломать не только продвинутые кибергруппировки, но и киберхулиганы с низким уровнем квалификации. К таким выводам пришли эксперты компании «Ростелеком-Солар», которые проанализировали данные о 40 госорганизациях и органах власти федерального и регионального уровня.
Одной из простейших схем «заражения» по-прежнему остается фишинговая рассылка. В 70% государственных организаций отсутствуют специализированные средства для фильтрации входящей электронной почты. Часто не используются даже базовые инструменты – антиспам и антивирус. Злоумышленникам даже не обязательно маскировать вредоносное тело – достаточно просто отправить файл. Для подобных атак используется самое примитивное вредоносное ПО, которое распространяется в даркнете бесплатно.
Еще одна самая распространенная причина уязвимости в том, что часть госструктур используют системы с устаревшим кодом и протоколами шифрования. Нередко системы опираются на версии ОС, снятые с поддержки более пяти лет назад.
Кроме того, информационные системы госсектора требуют возможности предоставления доступа клиентам или пользователям, а также часто связаны с системами других ведомств. Более 50% организаций используют незащищенное соединение, например, протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены. Более 70% организаций подвержены классическим web-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям (язык программирования структурных запросов), которые позволяют взломать базу данных сайта и внести изменения в скрипт. Также организации подвержены уязвимости XSS (межсайтовый скриптинг), с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт. CNews уже писал, что многие госсайты, согласно данным мониторинга МОО «Информация для всех», в среднем загружают ресурсы с четырех посторонних сайтов.
Более 60% организаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP), и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).
Одна из основных причин уязвимости заключается также в отсутствии обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в самой «продвинутой» с точки зрения применения ИТ-решений в сфере безопасности – кредитно-финансовой, обновления устанавливаются, в среднем, 42 дня. В случае с госсектором ситуация усугубляется формированием закрытых и изолированных сегментов, не подключенных к глобальной сети. В этом случае необходим формализованный ручной или полуручной процесс по обновлению, который отсутствует в 96% организаций. Из-за неправильной конфигурации служб обновления более 90% рабочих станций и серверов в госсекторе имеют ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.
Как действуют продвинутые хакеры
Эксперты определили, что в отличие от обычных киберхулиганов, которые занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, профессиональные киберпреступники стараются получить длительный контроль над инфраструктурой. Причем они не брезгуют результатами деятельности предыдущих группировок для первого проникновения в инфраструктуру, а далее последовательно стремятся получить доступ к конфиденциальным данным и длительный контроль.
Продвинутые кибергруппировки используют в первую очередь не технические, а процессные уязвимости. Они проникают в инфраструктуру жертвы через неучтенные точки доступа к системе. Согласно отчету, в 90% госорганизаций обнаруживаются от 3 до 10 точек связанности публичного и закрытого сегментов. При внедрении новой информационной системы в государственных структурах крайне редко проводится анализ состояния текущей инфраструктуры (сегменты, доступы, маршрутизация). В итоге появляются лишние точки входа в систему, например через VPN из соседнего федерального органа исполнительной власти (ФОИВ). Также в 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности вновь создаваемой системы (например, соединение сегмента DMZ, содержащего общедоступные сервисы, и изолированного сегмента Database). В результате злоумышленник получает доступ к слабо защищенному элементу инфраструктуры и беспрепятственно попадает к критическим информационным активам.
Также кибергруппировки и кибервойска могут атаковать ИТ-систему жертвы через подрядчика: они взламывают слабозащищенного контрагента и через его инфраструктуру попадают в нужную систему. Причем сотрудники подрядных компаний часто выступают админами, то есть обладают высоким уровнем прав и привилегий. Часто после окончания контракта их учетные данные остаются активными.
Полный набор вирусов
Согласно отчету, более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue. Они позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола RDP (протокол удаленного рабочего стола). BlueKeep — это компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода. Уязвимости DejaBlue затрагивают Windows Remote Desktop Services. По аналогии с BlueKeep уязвимость DejaBlue может использоваться злоумышленниками для распространения вредоносных программ с одного компьютера на другой без вмешательства пользователя.
Более 70% рабочих станций и серверов уязвимы перед EternalBlue (эксплуатирует ошибки Windows-реализации протокола SMB, который нужен для удаленного доступа к файлам, принтерам и другим сетевым ресурсам).
В каждой организации выявляется не менее пяти рабочих станций, уязвимых перед MS08-067, которая была устранена в обновлениях более 12 лет назад. Ошибка позволяет удаленно выполнить произвольный код, в контексте службы «Server» (обеспечивает поддержку удаленного вызова процедур), в результате чего злоумышленник может получить дистанционный контроль над всей системой.
Эксперты также обнаружили, что 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки вируса Wannaсry были обнаружены у 60% организаций. 85% ИТ-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а у 90% – есть признаки вредоносного ПО, переносимого через внешние носители.