Специалисты рассказали об опытной группировке хакеров, атакующей российские госорганы
Сегодня состоялась онлайн-конференция «Национальные киберугрозы: новые вызовы и опыт противодействия», в которой приняли участие заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов, вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов и директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.
Специалисты рассказали об опытной группировке хакеров, которая пыталась взломать информационные системы российских государственных органов. Расследование продлилось с 2019 года.
— История началась давно, в конце 2019 года, когда мы обеспечивали безопасность одной из государственных организаций. Это было похоже на сценарий интересного боевика. Наш инженер реагирования обнаружил следы прикосновения (контакт длился несколько минут) хакера к серверам нашего заказчика. Группировка попыталась взломать сервер. Мы выяснили, что группировка атакует госорганы уже с 2017 года. Их цель — заполучить ключевые элементы инфраструктуры: сервера, доступ к рабочей почты, конфиденциальная информация, — рассказал Игорь Ляпунов.
За это время группировка создала более 12 резервных каналов доступа в инфраструктуру атакуемой организации. Для реализации данной атаки злоумышленники написали более 120 уникальных образцов вредоносного ПО из более чем 13 различных вредоносных семейств, все — не выявляемые антивирусом.
В отличие от обычных хакеров, они действовали очень скрытно, заметали за собой следы. Это были явно не хакеры, которые торгуют данными пользователя, ведь стоимость их атак значительно превышает стоимость продажи таких данных. Было видно, что на группировку работают десятки (если не сотни) опытных хакеров. Мы провели огромную работу, чтобы закрыть доступ и отразить их атаки. Наши специалисты работали 24/7, — поделился вице-президент ПАО «Ростелеком» по информационной безопасности.
Кого именно атаковала группировка, не раскрывается. Также не раскрывается, кто именно был причастен к попыткам взлома компьютерных систем.
Атрибуция компьютерной атаки требует времени, конкретные участники называются только после приговора суда, — отметил Николай Мурашов.
Мурашов также отметил, что в 2019—2020 годах были предприняты попытки атак на ФБУН ГНЦ ВБ «Вектор», который занимался разработкой вакцины «Спутник V», и другие медицинские организации, но эти попытки были отражены специалистами по кибербезопасности.
- По данным НКЦКИ, за 2020 г. профессиональные атаки на субъекты КИИ, в том числе на крупные органы государственной власти, продемонстрировали рост более чем на 40% в сравнении с 2019 годом.
- По статистике Solar JSOC, почти половина инцидентов выявляются только с использованием сложных, интеллектуальных систем безопасности. Если же речь идет о сложных атаках, сопоставить всю цепочку действий злоумышленника в инфраструктуре крупной организации возможно только при наличии профессиональной команды из не менее 10 сотрудников с опытом ежедневного противодействия атакам такого типа.
