Технологии

Хакеры щупают госструктуры

Хакерская группировка Calypso с азиатскими корнями в этом году атаковала российские госучреждения, выяснила компания Positive Technologies. По ее данным, следы вредоносного программного обеспечения обнаружены как минимум в двух организациях из РФ. Основная часть атак пришлась на Индию, Бразилию и Казахстан, при этом мог быть скомпрометирован весь объем данных пострадавших структур, в том числе конфиденциальная информация.

Государственные учреждения из Бразилии, Индии, Казахстана, России, Таиланда, Турции стали жертвами группировки Calypso, основной целью которой является кража конфиденциальных данных, говорится в отчете Positive Technologies (есть в редакции). Calypso активна как минимум с сентября 2016 года, российские органы исполнительной власти подверглись ее атакам в этом году, рассказали в Positive Technologies.

«К сегодняшнему дню мы видели не менее двух организаций, в которых имеются следы вредоносного ПО, используемого группировкой»,— уточнили в Positive Technologies.

Всего на Россию пришлось 12% от общего числа выявленных атак Calypso, на госорганы Индии — 34%, Бразилии, Казахстана — по 18%, Таиланда — 12%, Турции — 6%.

Как выяснили в Positive Technologies, злоумышленники взламывали сетевой периметр организаций и размещали на нем специальную программу, через которую получали доступ к внутренним сетям. Внутри сети хакеры продвигались либо с помощью эксплуатации уязвимости в системе безопасности Windows MS17-010, либо с помощью украденных учетных данных, говорится в отчете.

На китайское происхождение Calypso указывает использование программы PlugX, которую традиционно применяют многие группы из Китая, а также трояна Byeby. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали реальные IP-адреса у китайских провайдеров.

«Злоумышленники получали максимально возможные привилегии в инфраструктуре компании, а это означает, что мог быть скомпрометирован весь объем данных»,— полагает ведущий специалист группы исследования киберугроз Positive Technologies Денис Кувшинов.

Оценить ущерб в финансовом эквиваленте в компании не берутся.

С Calypso сталкивались и в «Лаборатории Касперского».

«Мы назвали ее FlyingDutchman по одной из строк в коде бэкдора. Телеметрия подтверждает, что госучреждения находятся в сфере интересов группы. Также регистрировали заражения финансовых организаций»,— говорит старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Технику, описанную Positive Technologies, «многократно наблюдали в различных отраслях», утверждает руководитель отдела расследования инцидентов Solar JSOC компании «Ростелеком» Игорь Залевский.

«Общий подход крайне популярен, и неудивительно, что еще одна группировка использует те же техники»,— отмечает он.

Российские организации периодически становятся целями проправительственных хакерских групп разных стран мира, в том числе и Китая, отмечает руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова. В качестве примера она привела группу NetTraveler, которая нацелена в том числе на страны СНГ, включая Россию.

«Группа использует бэкдоры собственной разработки или инструменты в публичном доступе, которые хакеры распространяют через целевой фишинг с вредоносным вложением»,— рассказывает эксперт.

Основная цель, преследуемая хакерами, не финансовая, как у киберкриминальных групп, а шпионаж, утверждает госпожа Тихонова. Поэтому в список их жертв зачастую попадают объекты, связанные с нефтяной промышленностью, энергетикой, а также научно-исследовательские центры и институты, правительственные учреждения, различные военные подрядчики, поясняет госпожа Тихонова.

Деятельность группировки Calypso подтверждает тот факт, что вектор атак злоумышленников смещается с целей получения финансовых средств на получение данных, отмечают в Positive Technologies. На такие атаки приходится 58% от общего числа инцидентов по итогам второго квартала 2019 года, в то время как по итогам прошлого года этот показатель составлял 42%, указывают в компании.

Из-за кибератак российская экономика может потерять в 2019 году 1,6–1,8 трлн руб., а мировая — до $2,5 трлн, оценивал в июне Сбербанк.

Организации могут их предотвратить системами глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии и не дадут им закрепиться в инфраструктуре компании, уверены в Positive Technologies. Кроме того, добавляют в компании, обнаружить атаки и противодействовать им помогут мониторинг событий информационной безопасности, защита периметра и веб-приложений.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Метки
Back to top button
Close

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: