Специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» отмечают значительный рост хакерских атак на информационную инфраструктуру крупных российских компаний и органов власти. Количество таких атак выросло почти на 40% за последний год, а сами атаки стали продолжительней и агрессивней.
Как рассказал замдиректора НКЦКИ Николай Мурашов, в 2020 году профессиональные атаки на субъекты критической информационной инфраструктуры выросли почти на 40% по сравнению с 2019 годом. При этом уровень злоумышленников позволяет говорить о том, что это прогосударственные группировки, которые используют продвинутые технологии и инструментарий. «Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы считаем, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее», — рассказал он.
По словам вице-президента «Ростелекома» по информационной безопасности Игоря Ляпунова, проникновение злоумышленников в информационные отделы органов власти и их закрепление там началось еще в 2017 году. В 2020 году группировка внедренных сотрудников попыталась организовать атаку на один из органов исполнительной власти. Расследование этого инцидента стало отправной точкой для выявления всей цепочки атак.
Игорь Ляпунов рассказал, что к моменту, когда группировка внедренных хакеров была обнаружена, у них было уже 12 — 15 резервных каналов доступа в инфраструктуру атакуемой организации: подключение через соседние инфраструктуры, оставленные доступы на взломанных веб-серверах, учетные записи для удаленного доступа с разными привилегиями. Для совершения атаки хакеры написали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все – не выявляемые антивирусом. «В среднем примерно за месяц группировка получала полный контроль над ключевыми узлами инфраструктур организаций: полный доступ к контроллеру домена и всем учетным записям, доступ к почтовым серверам с возможностью чтения рабочей переписки, доступ к точкам сопряжения с другими инфраструктурами, что позволяло развивать атаку в другие организации или органы исполнительной власти», — пояснил Ляпунов.
Как рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков, для проникновения в инфраструктуру объекта атаки, злоумышленники используют фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры могут собрать в том числе из открытых источников. После проникновения в инфраструктуру, злоумышленники собирают информацию об устройстве сети и о ключевых сервисах. А чтобы получить максимальный контроль, они стремятся атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивают себе достаточно высокий уровень скрытности за счет использования легитимных утилит, не детектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
«Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать свое присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства. Без выстроенной системы контроля привилегированных пользователей и систем удаленного доступа такие атаки могут развиваться годами – совершенно незаметно для организации-жертвы», — пояснил эксперт.
Игорь Ляпунов уверен, что стратегически важно донести имеющийся у «Ростелекома» опыт успешного противодействия проправительственным кибергруппировкам и сформировать новые стандарты информационной безопасности по защите ключевых инфраструктур России. По его мнению, хакерские технологии сегодня становятся все более распространенными, и стандартные средства защиты, применяемые в госструктурах и субъектах критической информационной инфраструктуры, оказываются бессильными. «В таких условиях первостепенной задачей становится внедрение механизмов раннего выявления атак, которые позволяют свести к минимуму потенциальный ущерб. В противном случае работы по локализации и зачистке угрозы могут оказаться колоссально трудоемкими – в случае с крупной инфраструктурой они могут занять от нескольких недель до нескольких месяцев, в течение которых организация всё еще будет под прицелом взломавших её хакеров, что совершенно недопустимо», — уверен он.
Эксперт также отметил, что для «зачистки» федеральной информационной инфраструктуры среднего размера от злоумышленников требуется более двух недель круглосуточной работы семидесяти специалистов ИТ- и ИБ-служб организации, провайдера сервисов кибербезопасности и регулятора.
Было интересно? Хотите быть в курсе самых интересных событий в Ростове-на-Дону? Подписывайтесь на наши страницы в ВКонтакте и канал в ЯндексДзен и Telegram.
Вы можете сообщить нам свои новости или прислать фотографии и видео событий, очевидцами которых стали, на электронную почту.
