Отпор хакерам: Ростелеком отразил масшатбную кибератаку на органы госвласти

Хакерские атаки для России — не редкость. Методы, которые ранее считались уникальными, теперь становятся всё более распространенными, а стандартные средства защиты — бессильными. Недавно специалисты Ростелекома спасли органы госвласти от кибератаки, авторы которой — настоящие профессионалы. “Республика” узнала подробности.

18 мая Ростелеком организовал пресс-конференцию, посвященную вопросам защиты национального информационного пространства в новых реалиях. Причина в том, что недавно специалисты по IT-безопасности компании «Ростелеком-Солар» проанализировали серию целенаправленных компьютерных атак на информационные ресурсы государственных органов РФ.

Пресс-конференцию провели заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов и директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

Николай Мурашов. Фото: скриншот из онлайн-трансляции

Николай Мурашов. Фото: скриншот из онлайн-трансляции

«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Мы хотим сообщить об использованных злоумышленниками средствах и методах, а также о наших рекомендациях по противодействию подобным атакам», — заявил Николай Мурашов.

Технические детали выявленной вредоносной активности пояснил Игорь Ляпунов. Он отметил, что противодействие именно этой кибератаке — результат большой двухлетней работы. Более того, по его словам, информация о таких кибератаках и разных группировкам в публичное поле не выходит.

По словам Ляпунова, методы, которые ранее считались уникальными, теперь становятся всё более распространенными, а стандартные средства защиты — бессильными.

Игорь Ляпунов. Фото: скриншот из онлайн-трансляции

Игорь Ляпунов. Фото: скриншот из онлайн-трансляции

«Сейчас тема кибербезопасности с одной стороны на слуху, а с другой — практических кейсов, практических примеров противодействия очень мало. И, конечно, опыт, который получен, очень важно тиражировать. Очень важно распространять его на всех участников рынка кибербезопасности, на все компании, все команды, которые противодействуют киберугрозам. К сожалению, за последний год мы видим очень серьезный рост именно такого уровня атак.

Можно применить такую метафору: наши IT-безопасники готовились к важному боксерскому поединку, очень усердно готовились, вышли на ринг, а там — танк», — начал Ляпунов.

Вице-президент ПАО «Ростелеком» по информационной безопасности пояснил, что история об этой кибератаке началась еще в конце 2019 года.

«Местами эта история похожа на сценарий интересного боевика. Мы обеспечивали безопасность одной из государственных информационных инфраструктур. Наш инженер ночью обнаружил даже не атаку, не воздействие — нужно отметить, что такого рода атаки не детектируются стандартными средствами защиты — он обнаружил быстро исчезнувшие следы, попытки прикосновения к одному из серверов защиты. Следы исчезли мгновенно, за несколько минут, но этого было достаточно, чтобы мы поняли, что происходит — группировка начала попытку взлома в защищаемую нами инфраструктуру.

А дальше началась кропотливая работа по восстановлению цепочки событий — откуда группировка пришла, как атака развивалась. Выяснилось, что эта группировка присутствовала и на других IT-инфраструктурах органов федеральной власти. А самые первые признаки ее присутствия датировались 2017 годом. То есть больше трех лет группировка совершала кибератаки на органы нашей власти.

Тот инструментарий, которым пользовались хакеры, был невероятно сложным. Это было медленное, очень скрытное продвижение внутри IT-инфраструктуры.

Люди, которые занимаются этим, — профессионалы, хорошо знающие матчасть. Они даже пофамильно знают системных администраторов, которые обслуживают эти инфраструктуры», — рассказал Ляпунов.

Вице-президент ПАО «Ростелеком» по информационной безопасности отметил, что цели группировки — ключевые элементы инфраструктуры. Это и все сервера управления, и источники конфиденциальной информации (почта, система электронного документооборота и т. д.).

Ляпунов также пояснил, почему обнаружить такую атаку стандартными способами невозможно, потому что в процессе развития атаки основная часть их усилий тратится на сокрытие следов. В частности, они могут отключить большинство современных антивирусов, однако системные администраторы будут видеть, что антивирусы работают.

Подобные кибератаки, считают в Ростелекоме, не могут спланировать обычные коммерческие группировки: во-первых, коммерческие хакеры атакуют с целью монетизации, во-вторых, стоимость такой атаки очень высока. А продажа полученных конфиденциальных данных не отобьет затраты  на такие хакерские технологии.

Специалисты на пресс-конференции с уверенностью сказали, что над этой кибератакой трудились десятки, если не сотни разработчиков.

«Когда мы установили все точки присутствия в государственных it-инфраструктурах, началась большая работа по очистке системы. В этом была сложность: работать нужно было так, чтобы хакеры не поняли, что находятся под наблюдением. В противном случае, они могли бы запустить вирус и парализовать работу системы. Для нас это было большим вызовом, — отметил Ляпунов. — Более того, когда мы выгнали хакеров из системы, была колоссальное количество атак с попыткой вернуться».

Владимир Дрюков отметил, что если хакеры скрывались от специалистов по безопасности, то специалистам по безопасности приходилось скрываться от хакеров.

Владимир Дрюков. Фото: скриншот из онлайн-трансляции

Владимир Дрюков. Фото: скриншот из онлайн-трансляции

«Эксклюзивной в этой кибератаке была одна деталь: обычно хакеры создают себе два-три резервных канала, а тут их было от 10 до 15. Способы проникновения были совершенно разными. Иногда они пытались проникнуть именно в региональную сеть органа исполнительной власти, чтобы там закрепиться. Они не без основания полагали, что там уровень мониторинга значительно ниже», — рассказал Дрюков.

Вице-президент ПАО «Ростелеком» по информационной безопасности добавил, что специалисты подготовили отчет, в котором подробно рассказали о принципах работы этой группировки хакеров, чтобы в будущем ее легко можно было вычислить. Сейчас этот отчет представляют экспертному сообществу. Более того, изучают его и сотрудники спецслужб.

Журналисты спросили Николая Мурашова о том, какой вред нанесла эта кибератака. Директор НКЦКИ ответил, что только репутационный, однако его последствия еще предстоит выяснить.

Еще один корреспондент захотел выяснить, на какие именно органы госвласти хакеры совершили кибератаку, а также спецслужбы каких стран в этом подозреваются.

Жертв кибератаки специалисты оставили в секрете, а вот на вопрос о спецслужбах Мурашов ответил так:

«Это наши зарубежные партнеры сначала обвиняют Россию в кибератаке, а потом расследуют случившееся. Мы же придерживаемся другого принципа: без решения суда называть виновных в этом мы не будем».