Разделы

Безопасность Стратегия безопасности ИТ в госсекторе

Коварные заграничные хакеры годами взламывали сети органов власти России и оставались незамеченными

Хакеры с 2017 г. устраивали атаки на сети органов власти, многие из которых были успешными. Они проводили тщательную подготовку, включающую обеспечение более 10 резервных точек проникновения в сети, написание не определяемого антивирусами вредоносного ПО и т.д. Обнаружить и заблокировать деятельность киберпреступников удалось лишь в 2020 г., но их самих выявить пока не получается. Эксперты считают, что хакеры работают на иностранные спецслужбы.

Многолетние атаки на ФОИВы

Киберпреступники с 2017 г. успешно взламывали сети федеральных органов исполнительной власти России (ФОИВ), оставаясь при этом незамеченными. Об этом CNews сообщили представители Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар», дочерней структуры «Ростелекома».

Наибольшую активность, по данным НКЦКИ, хакеры развили в 2020 г. – согласно статистике, рост числа атак на субъекты критической информационной инфраструктуры (КИИ) в этом году превысил 40% по сравнению с показателями 2019 г. По данным специалистов, наиболее часто используемые этими киберпреступниками методы – фишинг, атаки через подрядчика и взлом веб-приложений.

До 2020 г. хакеры никак не выдавали себя. Обнаружить их деятельность удалось лишь при попытке проведения ими в 2020 г. атаки на один из российских ФОИВов из списка клиентов центра противодействия кибератакам Solar JSOC («Ростелеком-Солар»). Специалисты, расследовавшие этот инцидент, выяснили, что он был лишь частью цепочки атак.

На момент публикации материала хакерская группировка, годами орудовавшая в сетях российских ФОИВов, раскрыта не была, то есть пока неизвестно, кто конкретно осуществлял взломы. Однако специалистам НКЦКИ и Solar JSOC удалось заблокировать ей доступ к атакуемым сетям.

rus600.jpg
Главные подозреваемые во взломе российских ФОИВов - это иностранные спецслужбы

«Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства», – сказал CNews директор Solar JSOC Владимир Дрюков. «Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами – совершенно незаметно для организации-жертвы», – добавил он.

Как хакеры «жили» в сетях ФОИВов

Обнаруженная экспертами в 2020 г. хакерская атака была тщательно спланированной. У хакеров был один основной канал доступа к инфраструктуре атакуемого ими ФОИВа и более 12 запасных на случай, если основная брешь будет закрыта. В списке были лазейки через веб-сервера, коллекция учетных записей с различными уровнями привилегий для удаленного доступа и др.

Помимо этого, в арсенале киберпреступников было 120 видов вредоносного ПО, написанных ими же, притом ни один из них не определялся современными антивирусами. «Со стороны группировки была выполнена огромная работа по изучению российской ИКТ (информационно-коммуникационные технологии – прим. CNews): адаптация вредоносного ПО под работу с российскими облачными сервисами с полным изучением их API, обход российских средств защиты», – сообщили CNews представители «Ростелеком-Солар».

На получение доступа к ключевым узлам сетей российских ФОИВов хакеры тратили в среднем около месяца. За этот срок они взламывали контроллер домена, открывая себе путь к учетным записям, и проникали в почтовые сервера, где могли читать рабочую переписку. Также они получали «доступ к точкам сопряжения с другими инфраструктурами, что и позволяло развивать атаку в другие организации или органы исполнительной власти», говорится в отчете «Ростелеком-Солар».

Как итог, в среднем за 30 дней у хакеров может появиться доступ, к примеру, к личной переписке первых лиц ФОИВа. Помимо этого, они могут скомпрометировать личные данные сотрудников взламываемого учреждения. «При этом для “зачистки” федеральной информационной инфраструктуры среднего размера от злоумышленников требуется более двух недель круглосуточной работы 70 специалистов ИТ- и ИБ-служб организации, сервис-провайдера и регулятора», – рассказали CNews представители «Ростелеком-Солар».

Излюбленные методы хакеров

Почти половина всех атак на сети ФОИВов (более 45%) начинается со взлома тех или иных приложений. В большинстве федеральных российских организаций (почти в 70%) веб-ресурсы содержат различные уязвимости, которые и используют хакеры. Киберпреступники начинают «исследовать» новые ресурсы, опубликованные на правительственном домене gov.ru, спустя всего два-три дня после их публикации.

10 простых шагов: Как обеспечить безопасность КИИ
Инфраструктура

Фишинговые рассылки стоят на втором месте по популярности у хакеров, атакующих ФОИВы. Эксперты Solar JSOC утверждают, что именно в органах госвласти этот метод показывает наиболее высокую эффективность в сравнении с другими сегментами экономики. По их подсчетам, отправленное мошенником фишинговое письмо открывает каждый четвертый госслужащий (в среднем по всей России – каждый седьмой сотрудник).

Третью строчку занимают атаки через различных подрядчиков. Этот метод требует со стороны хакеров больших трудозатрат в сравнении с предыдущими. Тем не менее, в 2020 г. злоумышленники пересмотрели свое отношение к нему – по данным Solar JSOC, его «популярность» как метода атак на субъекты КИИ выросла более чем вдвое.

ИБ-специалисты не виноваты, причина в иностранных спецслужбах

Вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов прокомментировал хакерскую атаку, позволившую обнаружить присутствие хакеров. «Однажды ночью при обеспечении мер безопасности один из наших инженеров обнаружил попытки «прикосновения» к серверу заказчика. Следы хакеров исчезли в течение нескольких минут, но этого было достаточно для понимания происходящего. <…> Мы не можем сказать, что кто-то из ИБ-специалистов плохо работал. Условно говоря, безопасники готовились к боксёрскому поединку, а когда вышли на ринг, увидели танк. Настолько неожиданны угрозы нового типа», – сообщил он порталу «Экспертный центр электронного государства».

По словам замдиректора НКЦКИ Николая Мурашова, скомпрометировавшая хакеров атака характеризовалась «высоким уровнем примененных в ней технических средств». Он добавил, что эта атака отражала «явную тенденцию последних двух лет», заключающуюся в росте активности высококвалифицированных группировок в отношении российских ФОИВов и субъектов КИИ.

«При этом уровень злоумышленника, которому приходится противостоять владельцам государственных информационных систем – иностранные спецслужбы. Их целью является, как правило, компрометация ИТ-инфраструктуры и кража конфиденциальных данных госорганов и учреждений, а мотивом – действия в интересах иностранных государств», – сообщил CNews Николай Мурашов.

Эльяс Касми

Подписаться на новости Короткая ссылка