Кибербезопасность или мираж. Об одной успешной? атаке

НКЦКИ рассказал о серии атак "профессиональной группировки" на российские федеральные органы исполнительной власти. Судя по описанию, атака была успешной и те, кто ее проводил, добился поставленных целей, хотя им и не удалось скрыть следы этой атаки. 

Похоже все уже предпринятые меры по импортзамещению ПО пока что не обеспечили ожидаемых результатов в виде невозможности проведения подобных атак. Более того, для сбора информации об атакуемой сети были использованы "легитимные компоненты" "одного из популярнейших российских антивирусов" - можем мы предположить, что речь идет о Касперском?

В общем, любопытный инцидент. 

--

«Ростелеком» и НКЦКИ выявили серию масштабных кибератак на российские органы государственной власти

Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.

Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ):

«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов».

Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.

Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.

После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось.

Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.

Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.

Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности:

«Эффективное противодействие подобным кибергруппировкам возможно только при сочетании нескольких факторов: богатого опыта обеспечения безопасности органов государственной власти, расширенного стека технологий по выявлению современных атак и сильной экспертной команды, способной на круглосуточное противодействие современным группировкам».

Комментариев нет:

Популярные сообщения

Желающие следить за новостями блога, могут подписаться на рассылку на follow.it (отписаться вы сможете в один клик). 

Еще можно подписаться на Telegram-каналы @abloud62 @abloudrealtime, где также дублируются анонсы практически всех новостей блога. 

 

Translate