0
3009
Газета Экономика Печатная версия

10.11.2024 20:45:00

Хакеры проникают в российские госучреждения на несколько лет

Проукраинские киберпреступники ищут уязвимости у подрядчиков госорганов

Тэги: киберпреступность, хакеры, вредоносные по, российские госучреждения, ущерб, проукраинские группировки


киберпреступность, хакеры, вредоносные по, российские госучреждения, ущерб, проукраинские группировки В нескольких ведомствах был обнаружен особый кибершпион. Фото PhotoXPress.ru

Пока некоторые ведомства временно закрывали свободный доступ к той или иной статистике, опасаясь, что она может использоваться против России, отдельные учреждения или подрядчики госорганов даже не подозревали о внедренном в их систему вредоносном программном обеспечении (ПО), которое в течение нескольких лет скрытно сканировало их внутренние информационные потоки с крайне сомнительными целями. Такой вывод напрашивается после сделанных IT-специалистами публичных заявлений на прошедшем в Москве форуме по кибербезопасности SOC Forum 2024.

Количество утечек персональных данных в стране уже превышает все допустимые и разумные пределы, объявил глава Минцифры Максут Шадаев в ходе SOC Forum 2024. По его словам, нужно вводить экономические меры, чтобы предотвращать утечки и чтобы у бизнеса была финансовая ответственность. Вопрос внедрения оборотных штрафов за утечки будет решен до конца 2024 года, уточнил министр.

Как сообщили в Роскомнадзоре, за девять месяцев 2024-го зафиксировано 110 случаев утекших в интернет баз данных, содержащих более 600 млн записей о россиянах. Затем в октябре было выявлено еще 13 случаев распространения баз данных в Сети, содержащих свыше 9,7 млн записей, передает ТАСС.

На форуме по кибербезопасности обсуждалась и проблема цифровой грамотности самих граждан, которые иногда добровольно предоставляют о себе персональную информацию третьим лицам и без тени сомнения выполняют требования мошенников.

Но утекшие пароли от личных кабинетов, банковских карт, адреса, паспортные данные обычных граждан – это лишь вершина айсберга. Ущерб наносится не только конкретным семьям, которые лишаются части своих сбережений, но и стране в целом в ходе атак на информационные системы и цифровую инфраструктуру, которыми пользуются госорганы. И какой именно ущерб наносится уже в этом случае – судя по всему, доподлинно даже не подсчитать.

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили уникальное вредоносное ПО, получившее название GoblinRAT, с широкой функциональностью для маскировки: вредонос мимикрировал под легальное окружение зараженной системы и умел удалять следы своего присутствия. Он мог шпионить даже в сегментах с ограниченным доступом в интернет. Так что штатные IT-специалисты зараженной организации долгое время не подозревали о таком внедрении.

Как потом выяснилось, самые ранние следы заражения датировались 2020 годом, впервые же намеки на некую подозрительную активность сотрудники зараженной организации зафиксировали только в 2023 году. Около трех лет вредонос спокойно шпионил. И даже когда штатные кибербезопасники наконец-то это поняли, решить проблему своими силами они не смогли – им потребовалась помощь. Расследование было очень кропотливым, оно предполагало ручной анализ тысяч мегабайт данных. Сейчас вредоносное ПО удалено, уточняется в опубликованных материалах.

Эта атака была целенаправленная и ее совершил некто, имеющий высокий уровень технической подготовки. Окончательной ясности, кто это был, у IT-экспертов нет: с одинаковой вероятностью речь может идти как о старой или новой хакерской группировке, так и о профессиональном взломщике-одиночке.

Но на этом история не заканчивается: вредонос атаковал не одно, а несколько учреждений. Как сообщается, он был «обнаружен в четырех организациях», это «несколько российских ведомств и IT-компаний, которые обслуживают госсектор». И в каждой из них злоумышленники смогли получить полный контроль над целевой инфраструктурой. Атакующих интересовала «конфиденциальная информация, хранящаяся на серверах госорганов и их подрядчиков».

По понятным причинам в ходе пресс-конференции IT-специалисты не дали ответа на вопрос о том, чем все-таки занимаются атакованные госведомства и о каком уровне их деятельности идет речь – федеральном, региональном или муниципальном. «Но мы можем точно сказать, что атакующие закреплялись там надолго и соответственно их интересуют данные. На этом все», – сказал «НГ» инженер группы расследования инцидентов Solar 4RAYS Константин Жигалов.

В свою очередь, инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов в рамках форума пересказал результаты профильного отчета по итогам 10 месяцев текущего года, отчет также был обнародован на сайте компании. Самое важное, на что следует обратить внимание: количество сфер, в которых работают атакованные организации, выросло по сравнению с тем же периодом прошлого года с 4 до 16 штук.

Если в прошлом году список ограничивался госсектором, промышленностью, телекомом и финансовой отраслью, то теперь помимо этих пунктов он включает в целом IT-сектор, медицину, транспорт, логистику, сферу торговли, энергетику, общественную и политическую деятельность, даже деятельность в категории «Религия» и т.д. Исследователи пояснили, что теперь «абсолютно любая организация может стать целью злоумышленников».

Видимо, делается это из расчета, что подрядчики госорганов или иные промежуточные звенья могут быть представлены практически в любой отрасли, причем скорее всего они менее защищены, а значит, легко доступны для взлома и дальнейшего распространения вредоносов по всей цепочке взаимодействия.

Три главные цели активных атакующих – шпионаж, финансы (вымогательство или скрытый майнинг криптовалют), уничтожение данных. Сообщается, что «около 70% расследованных инцидентов было связано с деятельностью проукраинских группировок». Столь заметное доминирование проукраинских хакеров стало особенностью 2024 года, в прошлом году перечень активных группировок был значительно более пестрым.

Помимо этого фиксируется активность со стороны азиатских группировок, среди которых на одну из самых известных приходится около 15% расследованных в этом году атак. Доля тоже существенная, хотя до проукраинских злоумышленников далеко.

Исследователи поясняют: «Фокус на проукраинских группировках в 2024 году произошел еще и потому, что в отличие от других операторов сложных кибератак проукраинские злоумышленники часто стремятся нанести максимальный ущерб атакованной инфраструктуре. Из-за этого факт их атаки вскрывается раньше и чаще, чем, например, действия группировок из Азии, которые заинтересованы в долгом скрытном присутствии и сборе конфиденциальной информации».

В ходе конференции для журналистов исследователи не дали четкого ответа на вопрос, о группировках из каких именно азиатских стран может идти речь. Как пояснил «НГ» Сазонов, в этом случае некорректно делать более детальную атрибуцию и обозначать, какая страна стоит за взломом. Потому что это достаточно большой регион со схожей спецификой проведения атак, инструментария, подходов, менталитета, перечислил он. И чтобы не ошибиться и ни в коем случае никого не обидеть, говорится в целом про азиатский регион, несмотря на то что в него входят все-таки довольно разные по своей политической направленности государства. 


Читайте также


Экономика теряет на спам-звонках от 100 до 500 миллиардов рублей в год

Экономика теряет на спам-звонках от 100 до 500 миллиардов рублей в год

Анастасия Башкатова

Абоненты оказались желанной целью не только для мошенников

0
4291
Великобритания покаялась за брекзит

Великобритания покаялась за брекзит

Данила Моисеев

Министр экономики страны признал, что выход из ЕС навредил ее внешней торговле

0
3105
Борьба с Россией ведется в том числе на киберфронте

Борьба с Россией ведется в том числе на киберфронте

Анастасия Башкатова

На инфраструктуру страны нацеливают цифровых наемников

0
2819
Почему необходимо продолжать расследование диверсии на "Северных потоках"

Почему необходимо продолжать расследование диверсии на "Северных потоках"

Олег Никифоров

Вопрос возмещения многомиллиардного ущерба повис в воздухе

0
8548

Другие новости