"Ростелеком" и НКЦКИ выявили серию кибератак на российские госорганы
13 мая 2021 16:40 #102508
от ICT
ICT создал тему: "Ростелеком" и НКЦКИ выявили серию кибератак на российские госорганы
Дочерняя компания "Ростелекома", национальный провайдер технологий кибербезопасности "Ростелеком-Солар", совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников. Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций. Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти. После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня. "Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с "Ростелеком-Солар" нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов", - рассказал Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ). Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось. Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети. Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Причинить взлом: число кибератак на бизнес и госорганы выросло до семи раз | 13.79 | Среда, 24 августа 2022 |
Российские госорганы не спешат переходить на отечественный софт | 11.9 | Понедельник, 04 сентября 2017 |
Российские госорганы могут остаться без иностранных ИБ-решений | 11.9 | Пятница, 24 августа 2018 |
Российские госкомпании и госорганы сократили затраты на закупку продуктов Microsoft | 11.65 | Четверг, 24 августа 2017 |
Количество кибератак на российские организации увеличилось | 11.25 | Четверг, 25 июля 2024 |
Путин рассказал о 24 млн. кибератак на российские органы власти | 11.13 | Понедельник, 29 февраля 2016 |
Eset раскрыл детали кибератак на российские компании | 11.13 | Среда, 22 февраля 2017 |
Российские компании за год потеряли 116 млрд рублей из-за кибератак | 11.13 | Среда, 20 декабря 2017 |
На российские IP-адреса было совершено 3 миллиона кибератак | 11.13 | Вторник, 05 марта 2019 |
В марте зафиксирован рекорд кибератак на российские банки | 11.13 | Четверг, 26 мая 2022 |