Еще 11 мая провайдер технологий кибербезопасности "Ростелеком-Солар" и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) объявили о выявлении и отражении серии кибератак на целый ряд федеральных органов государственной власти. Спустя ровно неделю представители обеих структур поделились рядом подробностей как о самих инцидентах, так и о том, как их удалось отразить.
© ComNews
19.05.2021

Как отметил вице-президент "Ростелекома" по информационной безопасности, генеральный директор "Ростелеком-Солар" Игорь Ляпунов, первые следы инцидента обнаружены в 2019 г. В 2020 г. отражена попытка развить атаку на один из федеральных органов исполнительной власти, что стало отправной точкой для выявления всего масштаба инцидента и его окончательного купирования. При этом первые попытки проникновения в инфраструктуру относились еще к 2017 г.

Для реализации данной атаки злоумышленники написали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все - не выявляемые антивирусным ПО и программно-аппаратными комплексами защиты информации, как зарубежного, так и российского производства. К моменту обнаружения у группировки, помимо основного, было более 12 резервных каналов доступа в инфраструктуру атакуемой организации: подключение через соседние инфраструктуры, оставленные доступы на взломанных веб-серверах, учетные записи для удаленного доступа с разными привилегиями. Обычно в ходе атак злоумышленники используют лишь два-три резервных канала. Также злоумышленники активно применяли взаимосвязи между информационными системами различных ведомств. Чтобы оставаться незамеченными, нападавшие применяли российские облачные ресурсы, а не иностранные сервисы.

В среднем приблизительно за месяц группировка получала полный контроль над ключевыми узлами инфраструктур организаций, в том числе полный доступ к контроллеру домена и всем учетным записям, к почтовым серверам с возможностью чтения рабочей переписки, а также к точкам сопряжения с другими инфраструктурами, что позволяло развивать атаку в другие организации или органы исполнительной власти. Но при этом, как отметил заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, данные, содержащие государственную тайну, в распоряжение злоумышленников не попали. Хотя представитель НКЦКИ признал, что могли утечь другие чувствительные данные - например, относящиеся к категории персональных.

Игорь Ляпунов отметил, что обычно информация о работе по отражению атак не выносится в публичное поле. В итоге, несмотря на то что проблема обеспечения кибербезопасности актуальна, реального практического опыта пока накоплено мало, и его необходимо тиражировать на фоне массового роста кибератак. "Имея опыт успешного противодействия проправительственным кибергруппировкам, мы считаем стратегически важным донести его до рынка и сформировать новые ИБ-стандарты по защите ключевых инфраструктур РФ. Когда-то уникальные хакерские технологии сегодня становятся все более распространенными, и стандартные средства защиты, применяемые в госструктурах и субъектах КИИ, оказываются бессильными. В таких условиях первостепенной задачей становится внедрение механизмов раннего выявления атак, которые позволяют свести к минимуму потенциальный ущерб. В противном случае работы по локализации и зачистке угрозы могут оказаться колоссально трудоемкими - в случае с крупной инфраструктурой они могут занять от нескольких недель до нескольких месяцев, в течение которых организация (владелец критически важных для страны данных) все еще будет под прицелом взломавших ее хакеров, что совершенно недопустимо", - подчеркнул Игорь Ляпунов.

Директор центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Владимир Дрюков назвал основными инструментами атакующих взлом веб-приложений, фишинг и иные манипулятивные технологии, направленные не на оборудование и системы, а на людей, а также использование цепочки поставок, когда проникновение в инфраструктуру жертвы производится через партнеров (поставщиков, подрядчиков, контрактных разработчиков, интеграторов). В 45% успешных атак злоумышленники начинали свои действия с веб-приложений, которые в 70% российских компаний и госорганов содержат уязвимости. Действия злоумышленников облегчало то, что каждый четвертый российский госслужащий открывал фишинговые письма, тогда как в среднем в России к этому склонен лишь каждый шестой сотрудник. При этом злоумышленники активно эксплуатировали всяческого рода актуальную повестку, в том числе внутреннюю. Также нападавшие вели активную разведку, в итоге знали каждого из администраторов по имени. И в целом подготовка к атакам была тщательной и довольно длительной, в отличие от большинства нападений, имеющих финансовую мотивацию. "Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства. Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами - совершенно незаметно для организации-жертвы", - прокомментировал специфику тактики проправительственных хакеров Владимир Дрюков.

В этих условиях было важно не спугнуть злоумышленников. Также нельзя было исключить, что нападавшие, увидев, что их обнаружили, применят вредоносное ПО с деструктивными функциями, например шифровальщики, или уничтожат часть данных. В итоге многие мероприятия проводились скрытно. К примеру, имитировались аппаратные неисправности серверного и сетевого оборудования, что находило свое отражение во внутренней переписке ИТ-службы пострадавшего учреждения.

Главной сложностью в ходе работы над устранением последствий инцидента стал "кадровый голод". Локализация инцидента в относительно небольшой инфраструктуре (500 пользователей, 10 информационных систем) заняла неделю работы пяти специалистов, причем практически в круглосуточном режиме. На полное устранение ушло те же пять дней круглосуточной работы, причем уже у 18 специалистов, в том числе сотрудников сервис-провайдера и НКЦКИ. В случае федерального органа власти (5000 пользователей, 30 информационных систем) на локализацию вторжения ушло четыре месяца работы 25 специалистов, а на полное устранение - 14 дней работы 70 сотрудников, включая, опять же, работников сервис-провайдера и НКЦКИ. При этом, как отметил Игорь Ляпунов, штатные сотрудники часто оказывались в положении того, кто, ожидая боксерского поединка, столкнулся с танком. При этом были высоко оценены механизмы взаимодействия, заложенные в систему ГосСОПКА, которую обслуживает НКЦКИ.

"Развиваемая в нашей стране Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) доказала свою действенность: заложенные в ней механизмы взаимодействия позволили нам оперативно выявить весь круг пострадавших объектов и оказать им содействие в ликвидации последствий атак", - отметил Николай Мурашов.

Новости из связанных рубрик