КНБ РК выявил зарубежных хакеров, которые вели высокотехнологичный кибершпионаж в инфраструктуре госорганов

Они осуществляли свою деятельность скрытно и беспрепятственно.

По информации КНБ РК, попытки возврата в инфраструктуру фиксировались ежедневно группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки. Накопленный опыт и слаженная работа с организациями-жертвами позволили не допустить повторной компрометации, сообщает Vecher.kz.   

По информации пресс-службы ведомства, прошли те времена, когда шпионам необходимо было втираться в доверие к людям и на месте находить полезную информацию в режиме офлайн. Сегодня их заменило то, что есть практически в каждом доме – компьютер. Программное обеспечение и кибероружие вкупе со знаниями и навыками в информационных технологиях способны собрать массивы данных за считаное время, проникая в самые труднодоступные системы. Киберразведка и электронный шпионаж, которые еще 10 лет назад казались далеким будущим, стали нашей реальностью.

Выявлением и пресечением данных высокотехнологичных видов преступлений в Казахстане занимается АО «Государственная техническая служба» совместно с Комитетом национальной безопасности. К примеру, в 2022 году была нейтрализована деятельность хакерской группировки, которая осуществляла кибершпионаж путем негласного сбора документов из инфраструктур нескольких государственных органов и организаций.

«Кибергруппировка вела свою деятельность скрытно. Для закрепления позиций и кражи файлов запускаемые вредоносные программы маскировались под легитимные процессы операционной системы или другие установленные программные обеспечения, подписанные реальными разработчиками. Они не вызывали подозрений у обычных пользователей и даже у системных администраторов», – отметили в КНБ РК.

Хакеры использовали бреши в защите, так называемое 0-day уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение и техники APT. Средства защиты информации не детектировали данное вредоносное программное обеспечение, что позволяло хакерам беспрепятственно вести деятельность.

Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур государственных органов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей. Также атакующих интересовали технические данные самой инфраструктуры, они занимались сбором сетевых схем и учетных записей для дальнейшего продвижения.

«В результате изучения активности группировки, а также используемых методов и сбора иной информации, предположено, что в данных организациях орудовала хакерская группировка, действующая в интересах иностранного государства. Указанное обстоятельство придало совершенно иной окрас выявленной атаке и внесло ясность, что группировка состоит из высококлассных специалистов, имеющих серьезную финансовую поддержку для реализации своих целей», – сообщает КНБ РК. 

Кибершпионы имели устойчивые каналы связи с инфраструктурами жертв, кроме которых имелся и арсенал резервных. Они вели высокотехнологичный кибершпионаж, при котором государственные организации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде, антивирусное программное обеспечение выявляло только ранее известное вредоносное программное обеспечение, электронные документы на компьютерах не пропадали, инфраструктура работала стабильно, и не возникало подозрений, что некие сторонние силы крадут сведения, циркулирующие в организации. Хакеров интересовала только «чувствительная» информация, они не крали все подряд.

Для эффективного реагирования на данный инцидент и вытеснения группировки из инфраструктур АО «ГТС» и КНБ совместно с государственными органами и организациями проведена работа по изучению методов проникновения злоумышленников и подготовке соответствующей инфраструктуры.

Данные действия потребовали значительных усилий, так как имелись серьезные недочеты в организации защиты. Исходя из имеющейся информации о присутствии злоумышленников в инфраструктурах «жертв», для качественной зачистки требовались кардинальные меры. По согласованию с первыми руководителями государственных органов и организаций были проведены масштабные мероприятия, по результатам которых удалось максимально локализовать присутствие хакерской деятельности в отечественных сетях. Для исключения функционирования резервных каналов сбора информации, АО «ГТС» и КНБ проведен второй этап мероприятий, в ходе которого любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись, а также велась дальнейшая деятельность по зачистке, но уже более точечно.

Развитие цифровизации за последнее десятилетие затронула все отрасли страны. Но, к сожалению, вопросам информационной безопасности не уделялось достаточного внимания, следствием чего стали многочисленные утечки конфиденциальной информации.

Проведенные мероприятия позволили АО «ГТС» приобрести уникальный опыт и определенный объем информации по индикаторам компрометации. В дальнейшем планируется использование данных практических навыков при выявлении и пресечении такого рода угроз и в других организациях страны.

Шпионаж перешел из физического измерения в цифровое, а при отсутствии должного уровня защищенности предотвратить атаку или выявить злоумышленника в своей инфраструктуре практически невозможно. Хакеры могут годами красть информацию и их деятельность будет незаметна. При этом, необходимо учитывать, что украденная информация будет работать «против нас» и может привести к необратимым последствиям.

Хочешь получать главные новости на свой телефон? Подпишись на наш Telegram-канал!