В России зафиксировали возросший уровень киберугроз в отношении ключевых предприятий со стороны хакерских группировок, представляющих интересы иностранных государств. За 2020 год их количество увеличилось более чем на 40%. На онлайн-конференции «Национальные киберугрозы: новые вызовы и опыт противодействия» специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» рассказали об одной из самых серьёзных атак за последнее время.
Сейчас тема кибербезопасности, с одной стороны, на слуху. А с другой стороны, таких практических кейсов, практических примеров противодействия очень мало. И, конечно, тот опыт, который получен, очень важно тиражировать, очень важно распространять на всех участников рынка кибербезопасности, все компании, все команды, которые противодействуют киберугрозам, — заявил вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов.
Опубликованное экспертами исследование кибератаки на одну из государственных информационных структур будет особенно полезно специалистами. Но при этом оно способно увлечь и непрофессионалов, ведь события развивались почти как в боевике.
Конец 2019 года. В одну из ночей инженер реагирования «Ростелекома» обнаружил следы попытки проникновения в один из серверов государственного объекта. Эти следы исчезли буквально за несколько минут, но стали основой для понимания происходящего.
Как оказалось, первые признаки присутствия злоумышленников в IT-инфраструктуре относились к 2017 году. Их целями были серверы управления и источники конфиденциальной информации. При этом они отдельно изучали всю техническую документацию инфраструктуры, в которую проникали, знали пофамильно каждого из IT-администраторов и черпали информацию из рабочих станций.
Почему действия группы не удалось обнаружить стандартными средствами защиты? Большая часть усилий прилагалась, чтобы спрятать любое вмешательство. Ещё одним вызовом стала необходимость скрыть, что хакеры обнаружены. В противном случае они могли запустить, например, шифр-шифровальщик и парализовать работу IT-инфраструктуры. Поэтому приходилось идти на хитрость: отключения отдельных серверов сопровождались инсценированной перепиской по электронной почте о выдуманном сбое.
Интересна была и тактика злоумышленников. Если обычно хакеры стараются действовать максимально оперативно, то в этом случае они просто «касались» одного сервера и прекращали работу. Только на следующий день происходила попытка получить доступ. Несмотря на низкую динамику, отточенность действий была на высоте: через месяц группировка получала контроль над ключевыми узлами и доступ к почте. Затем всё повторялось на следующем объекте.
Что действительно эксклюзивно — уровень закрепления. Обычно, когда хакерские группировки приходят, они создают один-два резервных канала. Здесь каналов доступа было от десяти до пятнадцати. Местами пытались проникнуть в сеть регионального органа исполнительной власти, чтобы там закрепиться, не без оснований полагая, что там уровень мониторинга может быть ниже, — рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.
Злоумышленники создали 13 вирусных семейств разного назначения. На одном из серверов даже появились папки с разными версиями вирусного программного обеспечения. Всего было обнаружено более 120 уникальных образцов. Также хакеры мимикрировали под работу российских облачных сервисов с полным изучением их API.
Как происходили атаки? Группировка комбинировала три основных метода.
-
Взлом веб-приложений. На массовом рынке этим методом почти не пользуются, но примерно половина атак на госорганы происходит именно так. Подобные ресурсы разрабатывались давно, так что выстраивать политику безопасности вокруг них сложнее. Примерно 70% приложений имеют уязвимости.
-
Через социальную инженерию. По статистике, 75-80% взломов приходится именно на фишинг. Таргетированных атак на организацию происходит существенно меньше — всего 10%, но в рамках госаппарата бороться с ними сложнее, поскольку письма в этих структурах открывают часто.
-
Через подрядчика. Злоумышленники взламывают компанию-аутсорсера и пользуются её учётными записями для проникновения в основную цель. Со стороны это выглядит как легитимные действия администратора. За 2020 год подобный тип атак показал более чем двухкратный рост.
Для «зачистки» IT-структуры небольшого размера требовалась неделя на исследование, ещё неделю команда из 20 специалистов работала круглосуточно. На крупных площадках исследование занимало уже четыре месяца, а «зачистка» — две недели группой из 70 человек. По словам Дрюкова, когда злоумышленники попытались вернуться в инфраструктуру, началась «гангстерская перестрелка», в которой удалось победить.
Как признаются специалисты, они впервые столкнулись с таким уровнем угрозы. При этом нельзя кого-то обвинить в халатности.
Безопасники традиционно готовились к боксёрскому поединку, тренировались усердно много лет, физподгтовка, техника и так далее. И выйдя на ринг они перед собой увидели танк. Это принципиально другой уровень угрозы, с которым мы столкнулись, — пояснил Игорь Ляпунов.
Эксперты считают, что за атакой стоят не просто хакеры. «Понятно, что коммерческие группировки проводят хакерские атакуют с целью монетизации. В системе госуправления никакой монетизации для хакеров практически не возникает. Второе — уровень сложности и стоимости атаки таков, что никакой эффект от продажи конфиденциальных данных не отобьёт ту стоимость технологий, которая тратится чтобы совершать такую атаку. Это десятки, если не сотни разработчиков, которые пишут такое атакующее программное обеспечение», — подчеркнул Ляпунов.
С ним согласен и заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов. «Взятый государством курс на цифровизацию экономики, активное внедрение информационных технологий во все сферы деятельности государства и общества приводят к увеличению нашей зависимости от бесперебойной работы информационных систем. И, конечно, они неизбежно становятся объектами устремления иностранных спецслужб. Отдельное внимание злоумышленниками уделяется производителям программного обеспечения, особенно средств защиты, используемых в информационных системах государственных органов. Так называемые атаки на цепочку поставщиков представляются сегодня одним из основных способов проникновения злоумышленников в атакуемые системы», — прокомментировал Мурашов.
Для ответа на новые вызовы в стране развивается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Заложенные в ней механизмы позволяют участникам существенно повысить эффективность усилий по противодействию профессиональным атакам. Кроме того, эксперты считают, что необходимо комплексно подходить к вопросу информационной безопасности и разрабатывать новые стандарты.
Как в начале 20 века автоматическое оружие серьёзно перевернуло весь ландшафт боевых действий (конница, на которую Красная армия делала большой акцент, мгновенно ушла со сцены), так и сейчас мы, оказываясь перед вызовом со стороны кибератак, оказываемся на совершенно новом уровне противостояния. Это новое пространство, киберпространство, в котором возникают новые технологии, новые методы, новый уровень угрозы. И, конечно, мы должны сейчас максимум потратить сил, чтобы этот квантовый скачок совершить как можно быстрее и перейти уже в новую существенно более защищённую историю, — заявил Ляпунов.
Материал опубликован в рамках информационного партнёрства с Калининградским филиалом ПАО «Ростелеком»
