На днях в информационном поле СМИ оказались два отчета «Ростелеком-Солар» по противодействию киберпреступности: ежегодный Solar JSOC Security Report с результатами 2020 года и «Отчет об атаках и инструментарии профессиональных кибергруппировок». Как и немногим ранее Cisco, аналитики «Ростелеком-Солар» говорят о том, что атаки с использованием вредоносного ПО, в том числе шифровальщики, по-прежнему представляют наибольшую проблему для организаций, а методы социальной инженерии до сих пор являются основным способом заражения инфраструктуры. В тяжелый 2020 год наиболее активно применялся фишинг с использованием темы COVID-19. Кроме того, на 30% увеличилось количество атак, направленных на получение контроля над инфраструктурой жертвы, тогда как число атак с целью единовременной кражи денежных средств или получения выкупа выросло не так сильно (+10%).
Участники рынка сходятся во мнении, что в долговременной перспективе наиболее серьезную угрозу организациям несут именно сложные таргетированные атаки, направленные на проникновение в ИТ-инфраструктуру жертвы и длительное присутствие в ней. Это особенно важно, если речь идет об организациях госсектора и субъектах КИИ, которые оперируют наиболее чувствительными для граждан данными. Кейсы по противодействию кибератакам на ФОИВ крайне редко появляются в публичном поле, поэтому для нас стал наиболее интересным еще один отчет – о расследовании серии кибератак на органы государственной власти РФ, проведенном «Ростелеком-Солар» совместно с НКЦКИ.
По данным НКЦКИ, за 2020 год количество профессиональных атак на субъекты КИИ, в том числе на крупные органы государственной власти, выросло более чем на 40% по сравнению с 2019 годом. По словам директора центра противодействия кибератакам Solar JSOC Владимира Дрюкова, группировка, развивающая атаки на ИТ-инфраструктуру ФОИВ с целью длительного присутствия в ней, комбинировала три подхода: лобовые атаки через периметр на веб-приложения, хитрые атаки с использованием социальной инженерии и еще более изощренные атаки через подрядчиков госорганизаций. Но, в отличие от группировок «среднего уровня», которые работают на массовом рынке (например, атакующих финансовые организации), у «профессиональных» кибергруппировок, атакующих госорганы, другое распределение приоритетов среди этих инструментов.
Так, если на атаки веб-приложений в корпоративном сегменте, по статистике «Ростелеком-Солар», приходится около 20% всего объема сложных атак, то среди атак на КИИ их около половины (45%). «Часть ключевых ИТ-ресурсов госорганов разрабатывалась достаточно давно, вокруг них политики безопасности выстраивать гораздо сложнее. По нашей статистике, около 70% таких приложений имеют уязвимости, которые могут быть атакованы. Каждый орган власти выстраивает свой подход к защите – наложенными средствами или мониторингом, – но тем не менее уязвимость веб-приложений у них очень серьезная», – замечает Владимир Дрюков.
Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC
НКЦКИ, в свою очередь, приводит такие данные: первые активные воздействия на опубликованные ресурсы в домене .gov.ru начинаются уже через два-три дня после его публикации. Целями таких атак в основном является компрометация ИТ-инфраструктуры и кража конфиденциальных данных государственных органов и учреждений.
Второй вектор угроз – социальная инженерия – в рамках атак на госорганы так же имеет свои особенности. Если в целом по рынку около 75-80% атак начинаются с фишинга, то доля таргетированных атак на госорганы с использованием социальной инженерии – менее 10%. С другой стороны, проникновение таких атак более эффективное: если в среднем каждый 6-7-й сотрудник открывает фишинговое письмо, то среди госслужащих – каждый 4-й. «Злоумышленники использовали ситуацию с пандемией – для организации фишинговой рассылки использовалось всё, что касается выпуска пропусков, использования вакцин, ссылки на внутренние распорядительные документы и т. д.», – комментирует Владимир Дрюков.
Третий вектор – атаки через подрядчика (supply chain), компрометация инфраструктуры подрядчика для использования его учетных данных и паролей в атаке на основную организацию. Этот вектор атак, по данным отчета «Ростелеком-Солар», крайне редко используется во взломах финансовых организаций и гораздо чаще – во взломах КИИ. Как правило, такие подрядчики обладают высокими привилегиями на обслуживание не только корпоративных, но зачастую и закрытых технологических сегментов. «Цели злоумышленника – компания-аутсорсер, разработчик программного ПО и другие. Информация о них имеется, например, в системе открытых закупок. И если на стороне подрядчика нет требуемого уровня информационной безопасности, то достаточно просто скомпрометировать его инфраструктуру, а затем, зная, какие доступы есть у компании и какое ПО она обслуживает, воспользоваться учетными записями подрядчика. Со стороны мониторинга проникновение будет выглядеть как легитимные действия администратора, поэтому расследование такого типа атак представляет большую трудность», – замечает Владимир Дрюков.
Примером, в котором воплощены все указанные выше особенности, стала серия атак на органы государственного управления со стороны высококвалифицированной группировки хакеров, начавшаяся еще в 2017 году. Для ее реализации злоумышленники разработали в целом более 120 уникальных образцов вредоносного ПО, не детектируемых стандартным антивирусным ПО, из более чем 13 различных вредоносных семейств. «Мы обнаружили 13 разных вирусных семейств самого разного назначения, созданных на разных языках программирования, с большим количеством обфускации: систему для закрепления, систему для создания резервных каналов, троянцев, систему выгрузки данных и т. д. На одной из площадок мы даже нашли систему разработки и доставки, прямо на одном из серверов в отдельных папках были размещены разные версии вирусного ПО, чтобы проводить обновления для всей инфраструктуры сразу», – поясняет Владимир Дрюков.
Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности
Выявить угрозу удалось только в 2020 году, когда группировка попыталась развить атаку на очередной ФОИВ, на этот раз защищаемый Solar JSOC. «Началась большая работа по восстановлению цепочки атаки, откуда группировка пришла, какими методами развивалась. Выяснилась, что группировка присутствовала на некотором количестве других ИТ-инфраструктур ФОИВ. Инструментарий, которым она пользовалась, был невероятно сложный: это было медленное, очень скрытое продвижение. Глубина изучения ИТ-инфраструктуры также была очень высокая. Целью злоумышленников являлись ключевые элементы инфраструктуры: сервера управления и источники конфиденциальной информации: корпоративная почта, СЭД и так далее», – рассказывает вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.
К моменту обнаружения у группировки, помимо основного, было более 12 резервных каналов доступа в инфраструктуру (бэкдоров) атакуемой организации: подключение через соседние инфраструктуры, оставленные доступы на взломанных веб-серверах, учетные записи для удаленного доступа с разными привилегиями.
Когда были установлены все точки проникновения злоумышленников в инфраструктуру, необходимо было «зачистить» ее от наличия вредоносных программ и не дать хакерам попасть туда снова. В данном случае на исследование инфраструктуры и разработку плана реагирования у команды из 20 человек ушло около 4 месяцев, а сама вычистка потребовала усилий 70 человек в течение двух недель.
Приведенный пример свидетельствует о том, насколько сложно для любой организации противодействовать злоумышленникам, которые уже проникли в ее инфраструктуру, и насколько важны своевременное выявление атак, проработка подхода к экспертизе, технологическая подготовленность и информационное взаимодействие заинтересованных сторон.
«Сейчас мы оказываемся на совершенно новом этапе противостояния кибератакам, сталкиваемся с принципиально новым уровнем угроз. Большинство государственных ИТ-инфраструктур тесно друг с другом связаны – удаленный доступ, единые сервисы и взаимодействия и как следствие – одна уязвимость влияет на защищенность всей инфраструктуры в целом. И ФОИВы – не единственное такое направление, взаимосвязаны организации практически всех отраслей. Подход к реализации защиты должен быть для всех единым и комплексным», – говорит Игорь Ляпунов.
По его словам, НКЦКИ сегодня ведет большую работу по координации усилий в противодействии такого рода атакам. Со стороны государства развивается разработка соответствующих нормативных требований и рекомендаций. В плане технологий ИТ-компаниями делается акцент на решение задач по мониторингу, функция выявления атак является ключевым элементом всей системы ИБ. Отработка командного взаимодействия безопасников будет вестись на национальном киберполигоне, разработанном в рамках программы «Цифровая экономика».
Николай Мурашов, заместитель директора НКЦКИ
«Необходимо постоянно совершенствовать линию защиты, развивать государственные системы обнаружения и предупреждения компьютерных атак. Соответствующие шаги сегодня принимаются. Также необходимо увеличить уровень защищенности государственных информационных ресурсов и информационных систем КИИ. Эта работа должна проводиться постоянно», – резюмирует заместитель директора НКЦКИ Николай Мурашов.