Дочерняя компания «Ростелекома», провайдер технологий кибербезопасности «Ростелеком-Солар» совместно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выявили серию атак кибергруппировки на российские федеральные органы исполнительной власти. Главная цель хакеров — полная компрометация IТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников, сообщается в релизе провайдера.
«Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с провайдером «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов», — сообщил заместитель директора НКЦКИ Николай Мурашов.
Отмечается, что выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось, уточнили в «Ростелекоме».
Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
«Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур», — заключают в компании.