19.5.2021

Кибервойны: угрозы нового типа

Российские IT-эксперты раскрыли серию атак на государственные структуры

Исследование за 2017-2020 годы о масштабных действиях крупных кибергруппировок на информационные ресурсы российских федеральных органов исполнительной власти (ФОИВ) впервые стало публичным. Аналитики из «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам (НКЦКИ) выявили распространения нового типа атак – через инфраструктуру поставщиков. Злоумышленники применяли разнообразный инструментарий, включающий 13 различных вирусных семейств. Разработанное хакерами вредоносное ПО использовало облачные хранилища отечественных компаний.

ПО КОСВЕННЫМ ПРИЗНАКАМ

История обнаружения следов киберпреступлений в 2019 году в одной из государственных информационных инфраструктур похожа на сценарий интересного боевика, рассказал вице-президент ПАО «Ростелеком» по информационной безопасности (ИБ) Игорь Ляпунов на онлайн-конференции. Мероприятие прошло 18 мая на площадке МИА «Россия сегодня».

Игорь Ляпунов, «Ростелеком»:

– Однажды ночью при обеспечении мер безопасности один из наших инженеров обнаружил попытки «прикосновения» к серверу заказчика. Следы хакеров исчезли в течение нескольких минут, но этого было достаточно для понимания происходящего – группировка начала попытку взлома.

Первые признаки присутствия преступников в инфраструктуре госорганизаций были найдены в 2017 году. В 2020-м произошла наиболее активная фаза вторжения с расширением области и количеством скомпрометированных объектов.

По словам эксперта, восстановить цепочку нападения было трудно, потому что атаки совершенствуются и уже не детектируются стандартными средствами защиты.

Игорь Ляпунов, «Ростелеком»:

– Мы не можем сказать, что кто-то из ИБ-специалистов плохо работал. Условно говоря, безопасники готовились к боксерскому поединку, а когда вышли на ринг, увидели танк. Настолько неожиданны угрозы нового типа, выявляемые по косвенным признакам.

В «Ростелеком-Солар» отмечают невероятно сложный инструментарий каждой атаки. Средняя скорость ее развития была такова, что за месяц группировка получала контроль над одной информсистемой (ИС) организации. Была очень высока и глубина изучения инфраструктур –

киберпреступники знали фамилии системных администраторов и получали всю информацию с рабочих станций специалистов. При этом они отключали большинство современных антивирусов

Хакеры получали управление над контроллером домена, полный доступ к почтовым серверам с возможностью чтения переписки и к точкам сопряжения с другими инфраструктурами, чтобы планировать угрозы для ФОИВов. Об этом рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

И.Ляпунов объяснил, почему взломы связывают с деятельностью иностранных спецслужб. Случившиеся нападения имели высокий уровень сложности и стоимости. Над внедряемым вредоносным ПО трудились десятки, а возможно и сотни разработчиков. Никакая продажа похищенных конфиденциальных данных не покрыла бы затрат на используемые технологии проведения взломов.

ИНСТРУМЕНТАРИЙ ЗЛОУМЫШЛЕННИКОВ

Аналитики отметили три распространенных вектора нападений на информсистемы. В.Дрюков говорит, что самый растущий – атака на инфраструктуру поставщиков услуг. Число таких инцидентов выросло в 2020 году в 2 раза.

Владимир Дрюков, «Ростелеком-Солар»:

– Целью злоумышленников все чаще становится не выявление уязвимостей непосредственно в инфраструктуре государственной организации, а поиск подрядчика, имеющего к ней доступ. Это может быть компания-аутсорсер, разработчик ПО, а также любая структура, имеющая отношение к системе госзакупок.

Далее киберпреступники совершали взлом поставщиков услуг и с помощью учетных записей сотрудников получали возможность легитимно заходить в нужные ФОИВы. Практика показывает, что подрядчики имеют достаточно высокие привилегии и прямой доступ в инфраструктуру своего заказчика, а значит хакерам легко создать резервный канал управления.
Эксперты отметили, что киберпреступники предусмотрели до 12 таких запасных входов в IT-системы.

Игорь Ляпунов, «Ростелеком»:

– Нельзя было просто поменять пароли и установить обновления в ФОИВ. Кибергруппировка имела большое число возможных способов проникновения. Если закрывался какой-либо из бэкдоров, то злоумышленники возвращались в инфраструктуру через другие точки присутствия.

Один из путей обхода совпадает со вторым вектором атак, а именно с фишинговыми рассылками с вредоносным вложением.

Если 75-80% всех применяемых сегодня кибервзломов начинается с отправки поддельных писем, то в организациях число таких таргетированных атак – менее 10%, отметил В.Дрюков. Но, по его словам, в рамках госаппарата бороться с ними сложнее:

если в среднем по IT-рынку лишь каждый шестой-седьмой сотрудник читает подозрительную почту, то в ФОИВ фишинговые письма открывает каждый четвертый специалист

Третий распространенный способ нападения – эксплуатация веб-уязвимостей, отметили спикеры.

Владимир Дрюков, «Ростелеком-Солар»:

– Хакеры почти не ломают веб в пользовательском сегменте: на инциденты такого класса приходится 20% случаев. Но это не работает в отношении госструктур, где более 45% нападений начинается со взлома веб-приложений. Уязвимости сегодня есть в 70% сервисов госорганов.

ПРОТИВОДЕЙСТВИЕ АТАКАМ

В «Ростелеком-Солар» указали на колоссальное разнообразие используемого зараженного ПО в ФОИВ, что стало для российских экспертов серьезным вызовом.

Было обнаружено 13 вирусных семейств с использованием разных языков программирования – всего более 120 уникальных образцов вредоносов

Так, был найден разработанный злоумышленниками софт, который использовал для выгрузки собираемых данных облачные хранилища компаний «Яндекс» и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты этих поисковиков – Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось. В ходе противодействия угрозам уровень защищенности российских систем госуправления стал значительно выше.

По словам В.Дрюкова, разматывание цепочки атак было сложным и интересным: безопасникам нужно было вести себя таким образом, чтобы хакеры не поняли, что их обнаружили.
Заместитель директора НКЦКИ Николай Мурашов отметил, что противодействие угрозам требует привлечения экспертов высокой квалификации. А сегодня нехватка профессиональных кадров ощущается даже в специализированных компаниях, работающих в сфере ИБ.

Комплексный отчет об атаках в госорганах был представлен для всего сообщества в том числе по этой причине, сказал И.Ляпунов. Также, по его словам, реалии требуют единого подхода к защите IT-систем госорганов.

Игорь Ляпунов, «Ростелеком»:

– Если раньше каждый ФОИВ строил индивидуальный периметр, то теперь львиная часть государственных систем тесно друг с другом связаны – уязвимость в одной влияет на защищенность всей национальной критической информационной инфраструктуры.

Эксперт надеется, что исследование станет полезным практическим кейсом для отечественной ИБ-отрасли. В документе: