Александр Пономарёв

Текст

Компания «Ростелеком-Солар» поделилась составленным совместно с Национальным координационным центром по компьютерным инцидентам ФСБ России отчетом о взломах сетей российских госорганов

Отчет сформирован на основе анализа серии целенаправленных кибератак на федеральные органы исполнительной власти РФ. Взломы компьютерных сетей были выявлены в 2020 году специалистами центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России. Отчет содержит данные открытой части исследования, разрешенные для публичного распространения. В документе указано, что уровень квалификации злоумышленников (используемые технологии и механизмы, скорость и качество проделанной ими работы) позволяет квалифицировать их как хакеров, представляющих интересы иностранного государства.

Киберзлоумышленники могли долго находиться внутри инфраструктуры и не выдавать себя, а главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников федеральных органов исполнительной власти, отмечается в документе. Для проникновения в инфраструктуры российских органов власти злоумышленники использовали три основных вектора атак: тщательно проработанный под специфику деятельности органа власти фишинг, эксплуатация уязвимостей опубликованных в интернете приложений, а также взлом инфраструктуры подрядных организаций.

Затем хакеры собирали информацию об устройстве сети и о ключевых сервисах, а для получения максимального контроля они стремились атаковать компьютеры ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного программного обеспечения и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.

После компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих источников: почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня. Для взлома использовалось разработанное злоумышленниками ПО для выгрузки собираемых данных в облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Яндекс.Диск» и «Диск-О». Вдобавок хакеры изучили особенности работы с одним из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети, указано в отчете.

Эксперты из американской IT-компании Sentinel Labs пришли к выводу, что за серией кибератак на органы государственной власти РФ стоят хакеры из Китая, а не западные спецслужбы, как изначально предположили многие эксперты. Судя по методам взлома и применяемым инструментам, взлом был осуществлен китайской группировкой ThunderCats («Громовые кошки»), которая входит в более крупную преступную организацию TA428. По данным экспертов из Sentinel Labs, TA428 занимается взломом преимущественно российских и восточноазиатских ресурсов. Аналитики отметили, что речь идет о целенаправленных атаках прежде всего с целью сбора разведывательных данных.