Специалисты по кибербезопасности выявили серию скрытых атак на российские федеральные органы исполнительной власти. Цель хакеров — контроль над сетевой инфраструктурой, кража конфиденциальной информации, документов и переписки государственных чиновников. Кто стоит за мощной атакой на Россию?
Тема кибербезопасности в Сети широко освещается в СМИ, но о деталях столкновений и противодействия угрозам на государственном уровне говорят мало, отметил вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов.
Два года назад специалисты «Ростелеком-Солар», обеспечивая безопасность одной из государственных информационных инфраструктур, столкнулись с хакерской группировкой, сложность используемых методов и скорость работы которой указывает высочайший уровень подготовки киберпреступников.
«Однажды ночью один из наших инженеров реагирования обнаружил не то, что атаку или воздействие… такого рода атаки не детектируются никакими средствами защиты и антивирусами. Это были быстро исчезнувшие следы попытки прикосновения к одному из серверов защиты нашего заказчика»,— рассказал он.
Обнаруженные следы исчезли за несколько минут. Но этого было достаточно, чтобы специалисты поняли, что некая группировка начала попытку взлома и проникновения в защищаемую IT-инфраструктуру.
Охота за государственными данными
Специалисты пытались определить, откуда пришла группировка и какие методы она использовала. И в процессе расследования вскрылись не самые приятные «сюрпризы».
«Выяснилось, что эта группировка присутствовала на некотором количестве уже других IT-инфраструктур федеральных органов исполнительной власти (ФОИВ). И самые первые признаки ее присутствия датировались 2017 годом. То есть больше трех лет группировка работала в IT-инфраструктурах госорганизаций», — продолжил Ляпунов.
Специалисты поняли, что инструментарий, используемый группировкой, был невероятно сложным. Это медленное, очень скрытное продвижение внутри инфраструктуры. Но в результате злоумышленники всего за месяц получали контроль над ключевыми элементами инфраструктуры и источниками конфиденциальной информации.
«Корпоративная почта, система документооборота. Это те места, куда группировка получает доступ и дальше черпает оттуда необходимую им информацию», — отметил вице-президент ПАО «Ростелеком» по информационной безопасности.
Выявить их действия стандартными средствами было невозможно. Во время расследования и безопасники вынуждены были делать вид, что знать не знают о работе злоумышленников. «Они скрывались от взгляда мониторинга, нам приходилось скрываться от злоумышленников», — объяснил директор центра противодействия кибератакам компании «Ростелеком-Солар» Владимир Дрюков.
Для этого приходилось прибегать к «шпионским» хитростям. Так, с одного из серверов защиты необходимо было снять образ, но сервер был включен и он должен был работать, чтобы не вызывать подозрений у злоумышленников. Если бы они поняли, что находятся под контролем и наблюдением, то могли запустить разрушающее программное обеспечение.
«В итоге мы вместе с заказчиком эмулировали физический сбой оборудования и даже сопровождали его отдельными переписками в электронной почте. Нужно было, чтобы злоумышленники не заподозрили, что мы про них уже знаем и готовимся к тому, чтобы их выгнать из этой инфраструктуры», — объяснил Дрюков.
«Эксклюзивные» киберпреступники
Еще одним сюрпризом для безопасников стало количество бэкдоров (backdoor – «черный вход»). Это запасные входы, которые создают злоумышленники. «Если один из них закрывался то, через другие точки присутствия они могли вернуться в атакованную инфраструктуру», — добавил Ляпунов.
Но в большинстве случаев хакеры делают две-три точки присутствия. Хакерская группировка, атакующая ФОИВ, сделала 12. Это эксклюзивный уровень закрепления на атакуемом ресурсе, сказал Дрюков.
Когда расследование подошло к концу, и специалисты установили все точки проникновения, началась большая работа по вычистке и освобождению IT-инфраструктуры от ПО хакерской группировки.
Но когда злоумышленники поняли, что их выгоняют с «завоеванной» территории, они ответили колоссальным объемом атак в попытках вернуть свои позиции.
«Попытки были прямые, лобовые, через периметр, через фишинг и даже через цепочки поставщиков, и через IT-подрядчиков», — перечислил вице-президент по информационной безопасности.
Кто стоит за атакой
Когда речь идет о подобного рода атаках на IT-инфраструктуру госорганов, можно предположить, что это — не результат деятельности коммерческих хакерских группировок. Они атакуют с целью монетизации, заработка на полученной информации. Информацию в госуправлении фактически невозможно серьезно монетизировать.
При этом уровень сложности атаки и их фактическая стоимость разработки вредоносного ПО такова, что никакой эффект продажи конфиденциальных данных не отобьет стоимость технологий.
«Мы, видя sample-образцы атакующего программного обеспечения, можем сказать, сколько народу над таким ПО работало. Это десятки, если не сотни разработчиков», — предположил Ляпунов.
Исходя из сложности используемых средств и методов, а также скорости их работы и уровня подготовки, можно предположить, что группировка располагает ресурсами уровня иностранной спецслужбы, резюмировал заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов.
