Национальный координационный центр по компьютерным инцидентам (НКЦКИ) и компания «Ростелеком-Солар», дочерняя структура «Ростелекома», провели пресс-конференцию, посвященную новым киберугрозам национального масштаба. По данным НКЦКИ, за 2020 г. профессиональные атаки на субъекты критической информационной инфраструктуры (КИИ) РФ, в том числе на крупные органы государственной власти, продемонстрировали рост более чем на 40% в сравнении с 2019 г.
Для проникновения в инфраструктуры субъектов КИИ и федеральные органы исполнительной власти (ФОИВ) профессиональные кибергруппировки чаще всего прибегают к взлому веб-приложений, фишингу и атакам через подрядчика, – отметили эксперты. Один из недавних примеров – серия атак на органы государственного управления со стороны высококвалифицированной группировки хакеров, выявленная и заблокированная в ходе совместного расследования специалистами НКЦКИ и центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар».
Закрепление злоумышленников в инфраструктуре началось еще в 2017 г., три с половиной года они оставались незамеченными. В 2020 г. группировка попыталась развить атаку на один из ФОИВ – клиента Solar JSOC. Расследование этого инцидента стало отправной точкой для выявления всей цепочки атак. К моменту обнаружения у злоумышленников, помимо основного, было более 12 резервных каналов доступа в инфраструктуру атакуемого органа власти: подключение через соседние инфраструктуры, оставленные доступы на взломанных веб-серверах, учетные записи для удаленного доступа с разными привилегиями. Для реализации данной атаки злоумышленники написали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все – не выявляемые антивирусом. Со стороны группировки была выполнена огромная работа по изучению российской ИКТ: адаптация вредоносного ПО под работу с российскими облачными сервисами с полным изучением их API, обход российских средств защиты.
Как выяснили эксперты, в среднем примерно за месяц группировка получала полный контроль над ключевыми узлами инфраструктур организаций: полный доступ к контроллеру домена и всем учетным записям; доступ к почтовым серверам с возможностью чтения рабочей переписки; доступ к точкам сопряжения с другими инфраструктурами, что и позволяло развивать атаку в другие организации или органы исполнительной власти.
Заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, сказал: «Уникальные особенности данной атаки обусловлены высоким уровнем примененных в ней технических средств, однако в целом она отражает явную тенденцию последних двух лет: активность высококвалифицированных группировок в отношении российских органов государственной власти и субъектов КИИ неуклонно растет. При этом уровень злоумышленника, которому приходится противостоять владельцам государственных информационных систем – иностранные спецслужбы. Их целью является, как правило, компрометация ИТ-инфраструктуры и кража конфиденциальных данных госорганов и учреждений, а мотивом – действия в интересах иностранных государств. Тем не менее, даже в таких непростых условиях развиваемая в нашей стране Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) доказала свою действенность: заложенные в ней механизмы взаимодействия позволили нам оперативно выявить весь круг пострадавших объектов и оказать им содействие в ликвидации последствий атак».
По данным центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», более 45% профессиональных атак на органы государственной власти начинается со взлома веб-приложений. При этом почти в 70% организаций веб-ресурсы имеют те или иные уязвимости, что потенциально дает злоумышленникам возможность успешного проникновения в инфраструктуру и развития атаки. По статистике НКЦКИ, первые активные воздействия на опубликованные ресурсы в домене .gov.ru начинаются уже через два-три дня после его публикации. Целями таких атак, как правило, является компрометация ИТ-инфраструктуры и кража конфиденциальных данных государственных органов и учреждений, а мотивами – действия в интересах иностранных спецслужб.
Другой популярный метод проникновения в локальную сеть организаций – фишинговые рассылки. При этом в органах госвласти их успешность выше, чем в других сегментах экономики – отмечают эксперты Solar JSOC. Фишинговое письмо открывает каждый четвертый госслужащий (тогда как в среднем по России – каждый седьмой сотрудник).
Менее стандартный и более трудозатратный вариант проникновения в инфраструктуру жертвы – атаки через подрядчиков. Однако, по данным Solar JSOC, в 2020 г. этот тип атак в отношении КИИ продемонстрировал более чем двукратный рост.
В целом почти половина инцидентов выявляется только с использованием сложных интеллектуальных систем безопасности, констатируют эксперты. Если же речь идет о сложных атаках, сопоставить всю цепочку действий злоумышленника в инфраструктуре крупной организации возможно только при наличии профессиональной команды из не менее 10 сотрудников с опытом ежедневного противодействия атакам такого типа.
В среднем всего за один месяц присутствия в инфраструктуре организации высококвалифицированная группировка получает максимальные привилегии доступа и может: читать всю почтовую переписку, в том числе первых лиц; полностью скомпрометировать учетные данные сотрудников; получить доступ к точкам сопряжения с инфраструктурами других организаций или органов исполнительной власти для развития атаки на них.
При этом для «зачистки» федеральной информационной инфраструктуры среднего размера от злоумышленников требуется более 2 недель круглосуточной работы 70 специалистов ИТ- и ИБ-служб организации, сервис-провайдера и регулятора.
Вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов сказал: «Имея опыт успешного противодействия проправительственным кибергруппировкам, мы считаем стратегически важным донести его до рынка и сформировать новые ИБ-стандарты по защите ключевых инфраструктур РФ. Когда-то уникальные хакерские технологии сегодня становятся все более распространенными, и стандартные средства защиты, применяемые в госструктурах и субъектах КИИ, оказываются бессильными. В таких условиях первостепенной задачей становится внедрение механизмов раннего выявления атак, которые позволяют свести к минимуму потенциальный ущерб. В противном случае работы по локализации и зачистке угрозы могут оказаться колоссально трудоемкими – в случае с крупной инфраструктурой они могут занять от нескольких недель до нескольких месяцев, в течение которых организация (владелец критически важных для страны данных) все еще будет под прицелом взломавших ее хакеров, что совершенно недопустимо».
Директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков отметил: «Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства. Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами – совершенно незаметно для организации-жертвы».
