Эксперты выявили серию кибератак на российские госорганы
«Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выявили серию масштабных кибератак на российские органы государственной власти. Основной целью хакеров являлась полная компрометация IT-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций. Эксперты выяснили, что письма были адаптированы под специфику деятельности конкретного органа власти и содержали темы, соотносящиеся с актуальными задачами организаций.
Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции IT-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. Преступники скрывались с помощью легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
По мнению экспертов «Ростелеком-Солар», хакерская группировка располагает ресурсами уровня иностранной спецслужбы.
«Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА [Государственная система обнаружения, предупреждения и ликвидаций последствий компьютерных атак на информационные ресурсы РФ], чтобы предотвратить повторение подобных инцидентов», – цитирует пресс-служба «Ростелеком-Солар» слова замдиректора Национального координационного центра по компьютерным инцидентам Николая Мурашова.