КНБ: В инфраструктуре госорганов выявили иностранных кибершпионов

В 2022 году сотрудники АО «Государственная техническая служба» совместно с Комитетом национальной безопасности нейтрализовали деятельность хакерской группировки, которая осуществляла кибершпионаж через негласный сбор документов из инфраструктур нескольких госорганов и организаций, сообщает prosud.kz.

Кибергруппировка вела свою деятельность скрытно. Для закрепления позиций и кражи файлов, запускаемые вредоносные программы маскировались под легитимные процессы операционной системы или другие установленные программные обеспечения, подписанные реальными разработчиками. Они не вызывали подозрений у обычных пользователей и даже у системных администраторов. Хакеры использовали бреши в защите, так называемое «0-day» уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение и техники APT. Средства защиты информации не детектировали данное вредоносное программное обеспечение, что позволяло хакерам беспрепятственно вести деятельность, – пресс-служба ГТС

Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур госорганов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей.

Также атакующих интересовали технические данные самой инфраструктуры, они занимались сбором сетевых схем и учетных записей.

Сотрудники предположили, что в этих организациях орудовала хакерская группировка, действующая в интересах иностранного государства, состоящая из высококлассных специалистов, имеющих серьезную финансовую поддержку для реализации своих целей.

Кибершпионы имели устойчивые каналы связи с инфраструктурами жертв, кроме которых имелся и арсенал резервных. Они вели высокотехнологичный кибершпионаж, при котором государственные организации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде, антивирусное программное обеспечение выявляло только ранее известное вредоносное программное обеспечение, электронные документы на компьютерах не пропадали, инфраструктура работала стабильно, и не возникало подозрений, что некие сторонние силы крадут сведения, циркулирующие в организации. Хакеров интересовала только «чувствительная» информация, они не крали все подряд, – пресс-служба ГТС

Для эффективного реагирования на данный инцидент и вытеснения группировки из инфраструктур АО «ГТС» и КНБ совместно с госорганами и организациями провела работу по изучению методов проникновения злоумышленников и подготовке соответствующей инфраструктуры.

Исходя из имеющейся информации о присутствии злоумышленников в инфраструктурах «жертв», для качественной зачистки требовались кардинальные меры.

По согласованию с первыми руководителями госорганов и организаций были проведены масштабные мероприятия, по результатам которых удалось максимально локализовать присутствие хакерской деятельности в отечественных сетях.

Для исключения функционирования резервных каналов сбора информации, АО «ГТС» и КНБ провело второй этап мероприятий, в ходе которого любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись, а также велась дальнейшая деятельность по зачистке, но уже более точечно.

Попытки возврата в инфраструктуру фиксировались ежедневно, группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки. Накопленный опыт и слаженная работа с организациями-жертвами позволили не допустить повторной компрометации. Данное противостояние продолжается по сей день, специалисты ведут постоянный мониторинг событий информационной безопасности, - пресс-служба ГТС