Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ России, и «Ростелеком-Солар» (дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности) провели анализ серии целенаправленных компьютерных атак на информационные ресурсы государственных органов Российской Федерации. Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, у экспертов имеются все основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Об этом представители «Ростелеком-Солар» рассказали на пресс-конференции в МИА «Россия сегодня».
Игорь Ляпунов, вице-президент ПАО «Ростелеком» по информационной безопасности:
– Тема кибербезопасности сейчас крайне актуальна. С одной стороны, она у всех на слуху, с другой – практических кейсов, примеров противодействия очень мало. Обычно работа по противодействию такого рода группировкам в публичное поле не выходит, но мы считаем необходимым тиражировать наш опыт, распространить его на всех участников рынка кибербезопасности. Тем более что за последний год видим серьезный рост такого уровня атак и считаем важным рассказать о тех результатах, которые мы получили за два года проработки данного кейса.
Как‑то ночью, еще в конце 2019 года мы, обеспечивая безопасность одной из государственных информационных инфраструктур, зафиксировали даже не атаку или воздействие – такого рода атаки не детектируются никакими стандартными средствами защиты и никакими антивирусами, а попытку прикосновения к одному из серверов защиты нашего заказчика. Следы исчезли буквально за несколько минут, но этого было достаточно, чтобы мы получили ниточку для понимания того, что происходит: группировка начала попытку взлома, попытку проникновения в защищаемую нами инфраструктуру.
Далее была проведена большая работа по восстановлению цепочки атаки – откуда группировка пришла, какие методы она использовала. Выяснилось, что эта группировка уже присутствовала на некотором количестве других инфраструктур федеральных органов исполнительной власти. Самые первые признаки ее присутствия датировались 2017 годом. То есть больше трех лет группировка работала, функционировала и осуществляла свои действия в ИТ-инфраструктурах государственных организаций. Инструментарий, которым она пользовалась, был невероятно сложным. Это медленное, очень скрытое продвижение внутри инфраструктуры. По нашим оценкам, за месяц группировка получала контроль над очередной ИТ-инфраструктурой.
Важный нюанс: обычно считается, что хакеры – это некоторые люди, которые «движутся» только в компьютерах, на самом же деле это профессионалы, которые хорошо изучают матчасть. Для них представляет большой интерес вся техническая документация по тому, как устроена ИТ-инфраструктура, в которую они проникают. Они пофамильно знают ИТ-администраторов, обслуживающих эти группировки; присутствуют на рабочих станциях и получают всю информацию с рабочих станций этих ИТ-администраторов.
Целями группировки являются ключевые элементы инфраструктуры – все сервера управления ИТ-инфраструктурой и источники конфиденциальной информации, а именно корпоративная почта, системы документооборота. Группировка получает доступ к этим местам и далее на постоянной основе черпает оттуда необходимую информацию.
В нашем случае группировка действовала очень скрытно, поэтому ее невозможно было детектировать стандартными средствами защиты. К тому же в процессе развития атаки и проникновения основная часть усилий тратится на сокрытие следов работы злоумышленников, вплоть до того, что они умеют технически отключать большинство современных антивирусов, а для администраторов и группы ИТ-сопровождения это выглядит так, что антивирусы работают и в системе ничего не происходит.
Как показывает опыт, такого уровня атаки на федеральные органы исполнительной власти – не результат деятельности обычных коммерческих группировок, которые, как правило, атакуют с целью монетизации, ведь в системах госуправления практически никакая монетизация для хакеров невозможна. Кроме того, стоимость атаки такова, что никакой эффект от продажи конфиденциальных данных не отобьет стоимость технологий, которые нужны для совершения такой атаки, так как специально для нее разрабатывается программа. Видя семплы атакующего программного обеспечения, мы можем сказать, сколько человек работало над таким ПО – речь идет о десятках, если не сотнях разработчиков.
Проведя расследование и восстановив все точки проникновения, присутствия и внедрения в инфраструктуру, мы начали большую работу по «вычистке», освобождению ИТ-инфраструктуры от этой группировки.
Противодействие такого рода атакам – серьезная задача, недостаточно просто поменять пароли и установить обновления. К тому же группировка имела большое количество запасных входов, так называемых бэкдоров, и если один из них закрывался, то через другие точки присутствия она могла вернуться в атакованную инфраструктуру. Мы насчитали порядка 12 возможных способов специально оставленных бэкдоров.
Атакующее ПО имело микросервисную архитектуру, подгружаемый дополнительный функционал. Опасность заключалась в том, что если группировка поймет, что находится фактически под контролем и наблюдением, она могла запустить разрушающее программное обеспечение, например вирус-шифровальщик, тем самым парализуя работу всей инфраструктуры. Все это было для нас большим вызовом.
После того как мы выгнали группировку из инфраструктур, было колоссальное давление и колоссальный объем атак с попыткой вернуться. Атаки были прямые (лобовые), через периметр, фишинг; хакеры пытались вернуться через цепочки поставщиков и через ИТ-подрядчиков этих компаний.
Значительным шагом для всего нашего сообщества по кибербезопасности стало понимание уровня угрозы, с которой мы столкнулись. Это глубокая таксономия работы группировок такого уровня. Были идентифицированы и разложены все методики реализации атаки, подходы к ее реализации, способы проникновения, способы развития и взаимодействия этой группировки внутри; были собраны все образы, образцы атакующего ПО, включая исходные коды. То есть весь колоссальный объем информации о том, как такие атаки реализуются, собран и доступен через НКЦКИ для экспертного сообщества. По результатам большого расследования мы значительно повысили уровень защищенности систем госуправления.
Вместе с тем, мы, как эксперты в области кибербезопасности, впервые столкнулись с таким уровнем угрозы. Атаки, которые не детектируются стандартными средствами защиты, а выявляются лишь по точечным, косвенным признакам, это действительно новый уровень угрозы. Для выявления атаки такого уровня и противодействия нужен не один, не два и не десять человек. Органы исполнительной власти, которые стоят перед лицом такой угрозы, не обладают достаточным ресурсным обеспечением для противодействия подобным атакам. Можно провести следующую аналогию: безопасники традиционно готовились к боксерскому поединку, много лет усердно тренировались, а выйдя на ринг, увидели перед собой танк. Мы оказались примерно в такой же ситуации.
Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»:
директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»
– Действительно, в 2019 году произошла первая компрометация государственной инфраструктуры. На 2020‑й пришлась наиболее активная фаза развития атаки, были попытки расширения области и количества скомпрометированных объектов.
Необычным для нас оказалось то, что, как правило, злоумышленники скрываются от взгляда мониторинга, взгляда безопасников, а в этот раз скрываться от злоумышленников приходилось нам. Когда мы шли в старые инфраструктуры, где нашего присутствия ранее не было, старались сделать так, чтобы злоумышленники не поняли, что их обнаружили. Тем самым мы минимизировали риски деструктивных действий, риски усиления их присутствия, а также риски разработки новых модулей и повышения покрытия.
Так, на одном из серверов нам требовалось снять образ, сервер в этом месте был включен и должен был работать. Вместе с заказчиком мы эмулировали (эмуляция в вычислительной технике – имитация работы одной системы средствами другой без потери функциональных возможностей и искажений результатов. – Прим.авт.) физический сбой оборудования и даже сопровождали его отдельными переписками в электронной почте для того, чтобы его выключить, снять с него образ и получить его для анализа, чтобы злоумышленники не заподозрили, что мы уже о них знаем и готовимся их выгнать с этой инфраструктуры. Такое пошаговое движение было достаточно сложным.
Обычно, когда хакерская группировка приходит в какую‑либо компанию, она создает себе два-три резервных канала. Есть работающее базовое вирусное ПО; какой‑нибудь резервный доступ, используемый через туннелирование трафика в DNS; какая‑то учетная запись, скомпрометированная для работы в VPN (Virtual Private Network – виртуальная частная сеть). В нашем случае каналов доступа было от 10 до 15, использовались совершенно разные способы и совершенно разные «куски» инфраструктуры. Местами злоумышленники пытались специально проникнуть в региональную сеть конкретного органа исполнительной власти для того, чтобы там закрепиться, не без основания полагая, что там уровень контроля и мониторинга может быть ниже. Нами проведена и успешно завершена большая работа по исследованию и локализации области компрометации.
Мы столкнулись с удивительной картиной движения хакеров: в основном хакерские группировки, работающие, допустим, по финансовому сектору, действуют грубо. Есть такой термин «сканирование инфраструктуры», оно идет с разной динамикой, но, так или иначе, это попытка с одного из узлов достаточно оперативно проверить, какие еще узлы присутствуют в сети, найти очередные сервисы с уязвимостями, «перепрыгнуть» на следующую инфраструктуру и пойти дальше. В данном случае атака развивалась совершенно иначе: это было касание одного сервера за раз, то есть злоумышленники проверяли то, что система в принципе где‑то существует. На следующий день уже предпринимали попытку получить доступ при помощи учетных записей через уязвимости на сервере.
При низкой динамике и максимальной скрытности отточенность атаки была такая, что за месяц злоумышленникам удавалось достичь неплохого результата: захватить контроль над ключевыми узлами, получить доступ к почтовой переписке и точкам сопряжения. Все это давало возможность развивать атаку дальше, переходить в следующие инфраструктуры, в том числе региональные, использовать «стыки» с другими органами власти для развития атаки уже в их направлении.
Расскажу, как происходил взлом. Мы выделили три ключевых вектора, которые использовались в зависимости от инфраструктуры и от подхода. Во-первых, это взлом веб-приложений. Вообще, хакерские группировки, работающие на массовом рынке, уже практически не ломают веб-приложения. По нашей статистике, на атаки такого класса приходится примерно 20% сложных хакерских атак. Совершенно другая ситуация в рамках профессиональных группировок, которые нацеливаются на КИИ (критическую информационную инфраструктуру) или органы исполнительной власти, – в этом случае практически половина атак начинается с атаки на веб-приложения. По нашей статистике, приблизительно 70% приложений органов государственной власти имеют уязвимости, позволяющие успешно атаковать их. Каждый орган госвласти выстраивает свой подход к защите либо наложенными средствами, либо мониторингом. Тем не менее, уязвимость веб-приложений действительно серьезная.
Одним из самых популярных векторов атак является социальная инженерия. По статистике, глобально по всему рынку примерно 75–80% атак начинается с фишинга. Ситуация понятная, особенно когда атаки идут на банки. Злоумышленники рассуждают следующим образом: можно атаковать одновременно 10–15 банков, разослав в них фишинговые письма, где‑то такое письмо сработает, и можно будет развивать атаку, а где‑то атака будет отбита.
Атак, нацеленных на конкретную организацию, меньше – по нашей статистике, этот показатель не превышает 10%, но в рамках госаппарата бороться с ними сложнее. В среднем по рынку мы видим статистику, что каждый шестой-седьмой сотрудник открывает фишинговое письмо, в случае ФОИВов – это каждый четвертый, и проникновение сюда происходит гораздо более эффективно. На кейсе, которым занимались мы, сильно сказалась ситуация с пандемией – все, что касалось выпуска пропусков, использования появляющихся вакцин, исследований, так или иначе использовалось как часть вектора. Злоумышленники старались изучать инфраструктуру достаточно глубоко, использовали какие‑то внутренние тематики, ссылки на внутренние документы для организации фишинговой рассылки, чтобы закрепиться глубже.
Третий вектор, не по значимости, а по появлению в горизонте исследователей, – атаки через подрядчиков. В России в 2020 году количество таких атак выросло в два раза. Они колоссально сложны для детектирования. По сути, целью злоумышленника является даже не выявление уязвимости инфраструктуры, а нахождение подрядчика организации, имеющего туда доступ. Это может быть компания-аутсорсер, разработчик программного обеспечения или любая другая организация. Если речь идет про систему открытых закупок, информация становится доступна злоумышленникам достаточно быстро.
Если на стороне этого подрядчика нет требуемого уровня информационной безопасности, скомпрометировать его просто – нужно взломать ИТ-компанию, которая не занимается безопасностью. Взлом компании-разработчика – гораздо более простая история, чем атака на государственную информационную систему. После чего злоумышленники, пользуясь учетными записями подрядчика, получают доступ к этой инфраструктуре и информацию о том, какие доступы есть у компании, какое ПО она обслуживает. Если не приглядываться очень внимательно, то все это выглядит как легитимные действия администратора – он зачем‑то подключился на сервер, проводит какие‑то регламентные работы, устанавливает ПО, которое похоже на легитимное. Выявление таких векторов маскировки – отдельная задача и отдельная трудность как в части обеспечения безопасности этого доступа, так и в части мониторинга и расследования такого типа атак.
Комбинируя эти способы – лобовые атаки через периметр, через веб-приложения, хитрые атаки на людей социальной инженерии и совсем уже изощренные атаки через подрядчиков, группировка развивала свои атаки на инфраструктуры и долго присутствовала в части из инфраструктур госуправления.
Злоумышленниками была проведена колоссальная работа по разработке вирусного ПО. Мы обнаружили 13 разных вирусных семейств самого разного назначения: системы для закрепления, системы для создания резервных каналов, трояны, системы выгрузки данных с использованием разных языков программирования с большим количеством обфускации (обфускация или запутывание кода – приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. – Прим.авт.). Для нашей команды исследования вирусов это было отдельным вызовом.
Рассматриваемая серия кибератак беспрецедентна как с точки зрения отдельных ее аспектов, так и по сочетанию факторов, а именно:
• уровня угрозы (федеральное значение);
• уровня киберпреступников (самый продвинутый, 5‑й уровень согласно модели уровней злоумышленников Solar JSOC – кибернаемники, преследующие интересы иностранного государства);
• целей кибератак (полная компрометация инфраструктуры и кража конфиденциальных государственных данных);
• используемого инструментария (часть разработанного ВПО ранее нигде не встречалась);
• уровня скрытности (за счет использования недетектируемого ВПО, легитимных утилит и понимания внутренней логики работы применяемых в органах власти средств защиты информации);
• сочетания сразу нескольких векторов атак для создания дублирующих каналов управления (фишинг, эксплуатация веб-уязвимостей, атака через подрядчиков);
• тщательности подготовки (индивидуальная проработка фишинга с учетом деятельности ФОИВ и отдельных его структур, разработка специализированного ВПО, исследование деятельности и инфраструктур подрядчиков и др.);
• применения при атаке на российские инфраструктуры российских же внешних ресурсов (облака «Яндекс» и Mail.ru Group);
• невозможности выявления данных кибератак стандартными средствами детектирования SOC и необходимости тщательного «ручного» расследования силами лучших экспертов Solar JSOC и НКЦКИ.
Интересный факт: когда мы шли в исследование старых инфраструктур, на одной из площадок обнаружили практически Gitlab, то есть систему разработки и систему доставки: на сервере в папках были сложены разные версии вирусного ПО, которое разрабатывали за последние три с половиной года. Это было сделано для того, чтобы обновлять систему вирусного ПО, – по аналогии с тем, как разработчики обновляют обыкновенное программное обеспечение. Тут так же – вышел новый релиз, он исправил какие‑то проблемы, ошибки, появился новый функционал. Обновление этого вируса они проводили уже из инфраструктуры.
Ключевое, что в том числе позволяет характеризовать эту атаку как направленную именно на инфраструктуру Российской Федерации, – очень серьезная мимикрия и проработка наших домашних сервисов. Очень глубоко была проработана история с облачными сервисами, используемыми в России. По умолчанию облачные сервисы в органах исполнительной власти используются редко, а зарубежные не используются вообще. К примеру, по умолчанию запрещено использование Dropbox и Google Диск.
В части российских «облаков» контроли обычно настроены с точки зрения выгрузки персональных данных или конфиденциальной информации, но периодически такие доступы тем не менее существуют. Группировка изу-чала API (application programming interface, программный интерфейс приложения, интерфейс прикладного программирования) работы российских облачных сервисов для того, чтобы максимально мимикрировать под деятельность классических агентов, которые ставятся по работе с облаками. Вот такое сложное ВПО (вредоносное программное обеспечение) было разработано.
Также стоит отметить серьезную работу по обходу и исследованию средств защиты, как западных, так и российских, нацеленную ровно на то, чтобы пройти ниже радаров ИТ-специалистов. В целом, это была очень тяжеловесная атака с точки зрения проделанной злоумышленниками работы.
После процедуры локализации мы перешли к разработке процедуры плана реагирования. Реагирование происходило на нескольких площадках. Остановлюсь на двух. Когда мы говорим про небольшой орган государственной власти – это около 500 пользователей и 10 информационных систем. Примерно неделя требовалась на исследование: чтобы определить поражение, выявить, какие узлы были скомпрометированы и что с ними делать. Сама же «вычистка» в этом месте заняла неделю, около 20 человек работали 24/7.
Второй пример – федеральный орган государственной власти, где пять тысяч пользователей и 30 информационных систем. Локализацией угрозы занимались 25 специалистов в течение четырех месяцев с полной нагрузкой. В реагировании и «вычистке» инфраструктуры участвовали 70 человек в течение 14 дней, работавшие 24/7, – это специалисты со стороны ИТ, информационной безопасности, сервис-провайдера и НКЦКИ.
Елена ВОСКАНЯН
