Российские госорганы и ключевые предприятия в последнее время сталкиваются с регулярными и системными кибератаками со стороны иностранных хакерских группировок. Вопрос IT-безопасности и методы борьбы с кибератаками обсудили специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» в рамках онлайн-конференции «Национальные киберугрозы: новые вызовы и опыт противодействия».

Сюжет для боевика

Противостояние иностранных хакерских группировок и российских сотрудников информбезопасности ведется уже достаточно давно, и порой все это похоже на сценарий боевика.

Вице-президент «Ростелекома» по информационной безопасности, гендиректор «Ростелеком-Солар» Игорь Ляпунов в ходе конференции поделился одним очень интересным кейсом, который, кто знает, может в будущем стать основой для остросюжетного фильма, этакий наш ответ «Матрице».

Масштабная хакерская атака произошла в конце 2019 года. Ночью инженер реагирования «Ростелекома» зафиксировал следы попытки проникновения в один из серверов государственной организации. При этом следы исчезли буквально за несколько минут, но для специалистов они стали основой для понимания кибератаки.

Позже выяснилось, что первые признаки присутствия незваных гостей в IT-инфраструктуре датированы 2017 годом. Злоумышленникам был нужен доступ к ключевым серверам управления и конфиденциальной информации. Преступники детально анализировали всю техническую документацию инфраструктуры, в которую проникали, знали пофамильно каждого из IT-администраторов и черпали данные из рабочих станций.

За это время группировка сделала более 12 резервных каналов доступа в инфраструктуру атакуемой организации. Для реализации кибератаки хакеры создали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все — не выявляемые антивирусом.

Вице-президент «Ростелекома» подчеркнул, что в отличие от обычных киберпреступников, они действовали очень скрытно, заметали следы. Это работали не так называемые коммерческие хакеры, которые торгуют данными пользователя, поскольку стоимость их атак значительно превышает цену продажи таких данных. Очевидно было, что состав группировки насчитывает больше сотни специалистов, но все же эту атаку удалось отбить. Как признаются сами сотрудники информбезопасности, они впервые столкнулись с таким уровнем угрозы.

Три основных вектора атак

1. Более 45% всех атак на сети федеральных органов исполнительной власти (ФОИВов) стартует со взлома различных приложений. В большинстве федеральных российских организаций (почти в 70%) веб-ресурсы содержат различные уязвимости, которые и используют хакеры. Киберпреступники начинают «исследовать» новые ресурсы, опубликованные на правительственном домене gov.ru, спустя всего два-три дня после их публикации.
2. Через социальную инженерию. По статистике, 75—80% взломов на глобальном рынке приходится именно на фишинг. Таргетированных атак на организацию происходит гораздо меньше — всего 10%, но в рамках госаппарата бороться с ними сложнее, поскольку письма в этих структурах открывают часто, тут кибератаки куда эффективнее.
3. Через подрядчика. Киберпреступники взламывают компанию-аутсорсера, после чего используют ее учетные записи для проникновения в главную цель. Со стороны это выглядит как легитимные действия администратора. За минувший год подобный тип атак показал более чем двухкратный рост.

— Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства. Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами и совершенно незаметно для организации-жертвы, — отметил директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Владимир Дрюков.

Игорь Ляпунов акцентировал, что сейчас большинство IT-структур ФОИВов очень тесно связаны между собой: здесь и удаленные доступы, и единые сервисы и, как следствие, уязвимость в одном секторе системы может сказаться на защищенности всей инфраструктуры.

— Большинство наших российских отраслей уже очень тесно связаны между собой, и подход к информационной защите должен быть единым и комплексным. Это еще один новый вызов, перед которым мы оказались, — добавил вице-президент «Ростелекома».

Нужно больше специалистов

— Совместно со специалистами компании «Ростелеком-Солар» мы провели анализ серии целенаправленных компьютерных атак на информационные ресурсы государственных органов РФ. Исходя из сложности использованных злоумышленниками средств и методов, а также скорости их работы и уровня подготовки мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранных спецслужб, — сообщил замдиректора российского Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов.

Он добавил, что количество атак на информационные системы органов власти и субъектов критической инфраструктуры стабильно растет. В 2019-2020 годах рост составил более 40%. Целью же атак, как правило, является компрометация ИТ-инфраструктуры и кража конфиденциальных данных госорганов и учреждений, а мотивом — действия в интересах зарубежных государств. При этом эксперт не стал называть, какие именно страны устраивают кибератаки.

— Отдельное внимание злоумышленники уделяют производителям программного обеспечения, особенно средств защиты, используемых в информационных системах государственных органов. Так называемые атаки на цепочку поставщиков представляются сегодня одним из основных способов проникновения злоумышленников в атакуемые системы, — добавил представитель НКЦКИ.

Кроме того, в последние годы чаще хакеры стали атаковать и российские медицинские службы, но попытки взлома были безуспешными.

Для ответа на киберугрозы в РФ активно развивается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Эксперты сходятся во мнении, что необходимо комплексно подходить к вопросу информационной безопасности, разрабатывать новые стандарты, а также особое внимание уделять подготовке квалифицированных специалистов в сфере IT.

Артем Реутов

Фото: Unsplash; Pixabay