В России раскрыли серию масштабных кибератак на госорганы
Правительство России опубликовало отчет о взломе и похищении информации из федеральных органов исполнительной власти.
Следы атак были выявлены в 2020 году.
Они были подробно описаны в совместном отчете, подготовленном Ростелеком-Солар, подразделением кибербезопасности российского телекоммуникационного гиганта Ростелеком, и Национальным координационным центром компьютерных инцидентов (НКЦКИ), организацией созданной Федеральной службой безопасности России (ФСБ) в 2018.
«Оценивая злоумышленников с точки зрения подготовки и квалификации (используемых технологий и механизмов, скорости и качества выполняемой ими работы), мы склонны относить эту группу к кибернаемникам, преследующим интересы иностранного государства», — говорится в отчете государственных служб России.
Злоумышленники использовали новое вредоносное ПО для взлома служб России
Ростелеком и НКЦКИ заявили, что для взлома российских федеральных агентств злоумышленники использовали широкий набор векторов проникновения, включая целевой фишинг, использование уязвимостей в веб-приложениях и взлом ИТ-инфраструктуры государственных подрядчиков.
«После полной компрометации инфраструктуры злоумышленники приступили к сбору конфиденциальной информации из всех интересующих источников: таких, как почтовые серверы, серверы электронного управления документами, файловые серверы и рабочие станции различного уровня», — говорится в сообщении.
Сразу же после взлома, злоумышленники развернули два ранее неизвестных штамма вредоносного ПО, названные Mail—O и Webdav—O, оба скрытых бэкдора, которые злоумышленники использовали для выполнения команд на зараженных хостах и кражи данных.
Оба штамма передавали данные в инфраструктуру управления и контроля, размещенную на местных российских облачных провайдерах, при этом Mail-O загружал данные на серверы Mail.ru Cloud, а Webdav-O — в облако Яндекс.Диск.
И Mail-O, и Webdav-O были также разработаны для обхода антивирусного ПО Касперского, которое обычно устанавливается в российских федеральных сетях, и маскировали свой сетевой трафик под легитимные сообщения для приложений Disk-O Mail.ru и Яндекс.Диск.
В совместном отчете содержатся дополнительные технические подробности о внутренней работе обоих штаммов вредоносных программ.
Российские власти пока не связывают нападение с какой-либо конкретной страной.
Отчет появился через месяц после того, как правительство США официально объявило атаку цепочки поставок SolarWinds операцией кибершпионажа, проведенной Службой внешней разведки России.
Подписывайтесь на Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Ньют Саламандр, аналитик Freedman Сlub Crypto News