«Ростелеком-Солар» совместно с НКЦКИ выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников. Эксперты предполагают, что это атаки уровня иностранных спецслужб.
«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов», — сказал заместитель директора НКЦКИ Николай Мурашов во время пресс-конференции НКЦКИ ФСБ России и «Ростелеком-Солар» «Национальные киберугрозы: новые вызовы и опыт противодействия».
Как рассказал вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов, закрепление злоумышленников в инфраструктуре началось еще в 2017 году, и три с половиной года они оставались незамеченными. В 2020 году группировка попыталась развить атаку на один из ФОИВ — клиента центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Расследование этого инцидента стало отправной точкой для выявления всей цепочки атак.
О технической части этих атак подробнее рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. По его словам, для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.
По словам спикера, проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
«Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось», — рассказал Владимир Дрюков.
Также, по его словам, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
«Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур», — отметил спикер.
Пока спикеры пресс-конференции не раскрывают подробности этой кибергруппировки и проведенных ей атак. Как отметил Николай Мурашов, «атрибуция атаки требует времени, а конкретные участники называются только после того, как есть соответствующее решение суда».
.jpg)
