Отчет об исследовании серии кибератак на органы государственной власти РФ
Отчет сформирован на основе анализа серии целенаправленных атак профессиональной кибергруппировки на федеральные органы исполнительной власти (ФОИВ) Российской Федерации. Эти атаки были выявлены в 2020 году специалистами центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России). Отчет содержит данные открытой части исследования, разрешенные для публичного распространения.
Уровень злоумышленников (используемые технологии и механизмы, скорость и качество проделанной ими работы) позволяет квалифицировать их как кибернаемников, преследующих интересы иностранного государства. Такие злоумышленники могли долго находиться внутри инфраструктуры и не выдавать себя. Главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из закрытых сегментов и почтовой переписки ключевых сотрудников ФОИВ.
Для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак:
· фишинг (тщательно проработанный под специфику деятельности органа госвласти)
· эксплуатация уязвимостей веб-приложений, опубликованных в сети Интернет
· взлом инфраструктуры подрядных организаций (Trusted Relationship)
Уже внутри периметра хакеры собирали информацию об устройстве сети и о ключевых сервисах. Для получения максимального контроля они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе высокий уровень скрытности за счет использования легитимных утилит, недетектируемого ВПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры, целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Технические особенности атак:
· разработанное злоумышленниками ВПО для выгрузки собираемых данных использовало облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное ВПО ранее нигде не встречалоссь;
· хакеры явно изучили особенности административной работы с одним из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.