Скрытая угроза: Как защитить свою компанию от киберрасхитителей?

С приходом глобальной цифровизации всё больше российских компаний стали подвергаться кибератакам со стороны хакерских группировок, представляющих интересы иностранных государств. Но если раньше предугадать действия сетевых взломщиков было несложно, то сейчас они кардинально сменили тактику и начали использовать новые инструменты для достижения своих целей.

О том, с какими киберугрозами приходится сталкиваться отечественным организациям и можно ли дать отпор злоумышленникам сетевого масштаба, шла речь на онлайн пресс-конференции «Национальные киберугрозы: новые вызовы и опыт противодействия», которую организовал Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России и «Ростелеком-Солар» (дочерняя структура ПАО «Ростелеком»).

Найти и обезвредить

— Кибернападения становятся всё более активными и агрессивными, а за реализацией подобного противостояния всегда стоят высокопрофессиональные кибергруппировки, — уверяет заместитель директора НКЦКИ Николай Мурашов. — Под удар преступников попадают госорганы. И здесь на кону уже не только репутация организации, но и утечка стратегически важной информации, непредназначенной для третьих лиц.

За организацией подобных кибернападений всегда стоят высокопрофессиональные хакерские группировки, представляющие интересы иностранных государств.

Совместно с НКЦКИ национальный провайдер технологий кибербезопасности выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти и решил поделиться опытом вычисления и обезвреживания опасных преступников. Главная цель хакеров — полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.

— Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы считаем, что данная группировка располагает ресурсами уровня иностранной спецслужбы, — поясняет Николай Мурашов.- Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и ничем не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно обнаружить их активность и принять соответствующие меры. А информация, необходимая для выявления данной угрозы на других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторные инциденты.

Атака не пройдёт

Вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов пояснил, что для проникновения в инфраструктуру злоумышленники использовали три основных метода: специальные (фишинговые) рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей (через приложения на смартфонах и других гаджетах), а также взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали, в том числе и из открытых источников.

Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции IТ-администраторов с максимальными привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности.

— Выявленные атаки отличают несколько характерных особенностей, — поясняет Игорь Ляпунов. — Во-первых, разработанное злоумышленниками вредоносное ПО использовали для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.

Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.

Кто предупреждён, тот вооружён

— Главная опасность проправительственных кибергруппировок в том, что, обладая мощными техническими и материальными ресурсами, они способны довольно долго скрывать своё присутствие в инфраструктуре, обходя средства защиты и мониторинга и реализуя шпионаж в интересах другого государства, — говорит директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. — Без выстроенной системы контроля привилегированных пользователей и систем удалённого доступа такие атаки могут развиваться годами — совершенно незаметно для организации-жертвы.

Спикеры пресс-конференции считают, что имея опыт успешного противодействия проправительственным кибергруппировкам, важно донести его до рынка и сформировать новые стандарты по защите ключевых инфраструктур нашей страны.

— Когда-то уникальные хакерские технологии сегодня становятся всё более распространёнными, и стандартные средства защиты, применяемые в госструктурах, оказываются бессильными. В таких условиях главной задачей становится — внедрение механизмов раннего выявления атак, которые позволяют свести к минимуму потенциальный ущерб. В противном случае работы по локализации и зачистке угрозы могут оказаться колоссально трудоёмкими — в случае с крупной инфраструктурой они могут занять от нескольких недель до нескольких месяцев. В течение этого времени организация всё ещё будет под прицелом взломщиков. А это недопустимо, — резюмировал Игорь Ляпунов.

СПРАВКА

По данным НКЦКИ, за 2020 год профессиональные атаки на субъекты КИИ, в том числе на крупные госорганы, увеличились более чем на 40% в сравнении с 2019 годом