В нескольких ведомствах был обнаружен особый кибершпион. Фото PhotoXPress.ru
Пока некоторые ведомства временно закрывали свободный доступ к той или иной статистике, опасаясь, что она может использоваться против России, отдельные учреждения или подрядчики госорганов даже не подозревали о внедренном в их систему вредоносном программном обеспечении (ПО), которое в течение нескольких лет скрытно сканировало их внутренние информационные потоки с крайне сомнительными целями. Такой вывод напрашивается после сделанных IT-специалистами публичных заявлений на прошедшем в Москве форуме по кибербезопасности SOC Forum 2024.
Количество утечек персональных данных в стране уже превышает все допустимые и разумные пределы, объявил глава Минцифры Максут Шадаев в ходе SOC Forum 2024. По его словам, нужно вводить экономические меры, чтобы предотвращать утечки и чтобы у бизнеса была финансовая ответственность. Вопрос внедрения оборотных штрафов за утечки будет решен до конца 2024 года, уточнил министр.
Как сообщили в Роскомнадзоре, за девять месяцев 2024-го зафиксировано 110 случаев утекших в интернет баз данных, содержащих более 600 млн записей о россиянах. Затем в октябре было выявлено еще 13 случаев распространения баз данных в Сети, содержащих свыше 9,7 млн записей, передает ТАСС.
На форуме по кибербезопасности обсуждалась и проблема цифровой грамотности самих граждан, которые иногда добровольно предоставляют о себе персональную информацию третьим лицам и без тени сомнения выполняют требования мошенников.
Но утекшие пароли от личных кабинетов, банковских карт, адреса, паспортные данные обычных граждан – это лишь вершина айсберга. Ущерб наносится не только конкретным семьям, которые лишаются части своих сбережений, но и стране в целом в ходе атак на информационные системы и цифровую инфраструктуру, которыми пользуются госорганы. И какой именно ущерб наносится уже в этом случае – судя по всему, доподлинно даже не подсчитать.
Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили уникальное вредоносное ПО, получившее название GoblinRAT, с широкой функциональностью для маскировки: вредонос мимикрировал под легальное окружение зараженной системы и умел удалять следы своего присутствия. Он мог шпионить даже в сегментах с ограниченным доступом в интернет. Так что штатные IT-специалисты зараженной организации долгое время не подозревали о таком внедрении.
Как потом выяснилось, самые ранние следы заражения датировались 2020 годом, впервые же намеки на некую подозрительную активность сотрудники зараженной организации зафиксировали только в 2023 году. Около трех лет вредонос спокойно шпионил. И даже когда штатные кибербезопасники наконец-то это поняли, решить проблему своими силами они не смогли – им потребовалась помощь. Расследование было очень кропотливым, оно предполагало ручной анализ тысяч мегабайт данных. Сейчас вредоносное ПО удалено, уточняется в опубликованных материалах.
Эта атака была целенаправленная и ее совершил некто, имеющий высокий уровень технической подготовки. Окончательной ясности, кто это был, у IT-экспертов нет: с одинаковой вероятностью речь может идти как о старой или новой хакерской группировке, так и о профессиональном взломщике-одиночке.
Но на этом история не заканчивается: вредонос атаковал не одно, а несколько учреждений. Как сообщается, он был «обнаружен в четырех организациях», это «несколько российских ведомств и IT-компаний, которые обслуживают госсектор». И в каждой из них злоумышленники смогли получить полный контроль над целевой инфраструктурой. Атакующих интересовала «конфиденциальная информация, хранящаяся на серверах госорганов и их подрядчиков».
По понятным причинам в ходе пресс-конференции IT-специалисты не дали ответа на вопрос о том, чем все-таки занимаются атакованные госведомства и о каком уровне их деятельности идет речь – федеральном, региональном или муниципальном. «Но мы можем точно сказать, что атакующие закреплялись там надолго и соответственно их интересуют данные. На этом все», – сказал «НГ» инженер группы расследования инцидентов Solar 4RAYS Константин Жигалов.
В свою очередь, инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов в рамках форума пересказал результаты профильного отчета по итогам 10 месяцев текущего года, отчет также был обнародован на сайте компании. Самое важное, на что следует обратить внимание: количество сфер, в которых работают атакованные организации, выросло по сравнению с тем же периодом прошлого года с 4 до 16 штук.
Если в прошлом году список ограничивался госсектором, промышленностью, телекомом и финансовой отраслью, то теперь помимо этих пунктов он включает в целом IT-сектор, медицину, транспорт, логистику, сферу торговли, энергетику, общественную и политическую деятельность, даже деятельность в категории «Религия» и т.д. Исследователи пояснили, что теперь «абсолютно любая организация может стать целью злоумышленников».
Видимо, делается это из расчета, что подрядчики госорганов или иные промежуточные звенья могут быть представлены практически в любой отрасли, причем скорее всего они менее защищены, а значит, легко доступны для взлома и дальнейшего распространения вредоносов по всей цепочке взаимодействия.
Три главные цели активных атакующих – шпионаж, финансы (вымогательство или скрытый майнинг криптовалют), уничтожение данных. Сообщается, что «около 70% расследованных инцидентов было связано с деятельностью проукраинских группировок». Столь заметное доминирование проукраинских хакеров стало особенностью 2024 года, в прошлом году перечень активных группировок был значительно более пестрым.
Помимо этого фиксируется активность со стороны азиатских группировок, среди которых на одну из самых известных приходится около 15% расследованных в этом году атак. Доля тоже существенная, хотя до проукраинских злоумышленников далеко.
Исследователи поясняют: «Фокус на проукраинских группировках в 2024 году произошел еще и потому, что в отличие от других операторов сложных кибератак проукраинские злоумышленники часто стремятся нанести максимальный ущерб атакованной инфраструктуре. Из-за этого факт их атаки вскрывается раньше и чаще, чем, например, действия группировок из Азии, которые заинтересованы в долгом скрытном присутствии и сборе конфиденциальной информации».
В ходе конференции для журналистов исследователи не дали четкого ответа на вопрос, о группировках из каких именно азиатских стран может идти речь. Как пояснил «НГ» Сазонов, в этом случае некорректно делать более детальную атрибуцию и обозначать, какая страна стоит за взломом. Потому что это достаточно большой регион со схожей спецификой проведения атак, инструментария, подходов, менталитета, перечислил он. И чтобы не ошибиться и ни в коем случае никого не обидеть, говорится в целом про азиатский регион, несмотря на то что в него входят все-таки довольно разные по своей политической направленности государства.