Отчет сформирован на основе анализа серии целенаправленных атак профессиональной кибергруппировки на федеральные органы исполнительной власти (ФОИВ) Российской Федерации. Эти атаки были выявлены в 2020 году специалистами центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России). Отчет содержит данные открытой части исследования, разрешенные для публичного распространения.
Уровень злоумышленников (используемые технологии и механизмы, скорость и качество проделанной ими работы) позволяет квалифицировать их как кибернаемников, преследующих интересы иностранного государства. Такие злоумышленники могли долго находиться внутри инфраструктуры и не выдавать себя. Главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ.
Для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак:
· фишинг (тщательно проработанный под специфику деятельности органа госвласти)
· эксплуатация уязвимостей веб-приложений, опубликованных в сети Интернет
· взлом инфраструктуры подрядных организаций (Trusted Relationship)
Уже внутри периметра хакеры собирали информацию об устройстве сети и о ключевых сервисах. Для получения максимального контроля они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе высокий уровень скрытности за счет использования легитимных утилит, недетектируемого ВПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры, целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Технические особенности атак:
· разработанное злоумышленниками ВПО для выгрузки собираемых данных использовало облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное ВПО ранее нигде не встречалоссь;
· хакеры явно изучили особенности административной работы с одним из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.