"Ростелеком" и НКЦКИ выявили серию кибератак на российские госорганы

13 мая 2021 16:40 #102508 от ICT
Дочерняя компания "Ростелекома", национальный провайдер технологий кибербезопасности "Ростелеком-Солар", совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников. Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций. Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти. После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня. "Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с "Ростелеком-Солар" нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов", - рассказал Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ). Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось. Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети. Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур. Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Российские госорганы не спешат переходить на отечественный софт12Понедельник, 04 сентября 2017
    Российские госорганы могут остаться без иностранных ИБ-решений12Пятница, 24 августа 2018
    Российские госкомпании и госорганы сократили затраты на закупку продуктов Microsoft11.74Четверг, 24 августа 2017
    Путин рассказал о 24 млн. кибератак на российские органы власти11.23Понедельник, 29 февраля 2016
    Eset раскрыл детали кибератак на российские компании11.23Среда, 22 февраля 2017
    Российские компании за год потеряли 116 млрд рублей из-за кибератак11.23Среда, 20 декабря 2017
    На российские IP-адреса было совершено 3 миллиона кибератак11.23Вторник, 05 марта 2019
    В марте зафиксирован рекорд кибератак на российские банки11.23Четверг, 26 мая 2022
    Касперский спрогнозировал рост числа кибератак на российские объекты11.11Пятница, 20 января 2017
    Аналитики Solar JSOC зафиксировали почти двукратный рост числа кибератак на российские компании10.66Среда, 24 апреля 2019

    Мы в соц. сетях